電子郵件安全提供商Vade Secure跟蹤分析了北美25個最常被網絡釣魚攻擊冒充欺騙的品牌。在2018年第三季度報告中，共跟蹤分析了86個品牌，這些品牌在該公司檢測到的所有攻擊中占了95%。

總體而言，Vade Secure表示，第三季度網絡釣魚攻擊增加了20.4%，頭號目標是微軟，其次是PayPal、Netflix、美國銀行和富國銀行。

圖1：最受青睞的網絡釣魚目標

基于云的服務和金融公司仍然是兩個最容易中招的行業，微軟是被覬覦的頭號品牌，攻擊者企圖獲取Office 365、One Drive和Azure的登錄信息(又叫憑據)。

Vade Secure的報告稱：“微軟網絡釣魚攻擊的主要目標是獲取Office 365登錄信息。只要有了一組登錄信息，黑客就能訪問存儲在Office 365應用軟件中的大量機密文件、數據和聯系資料，比如SharePoint、OneDrive、Skype、Excel和CRM等軟件。此外，黑客可以使用這些中招的Office 365帳戶來發動另外的攻擊，包括魚叉式網絡釣魚、惡意軟件以及越來越多針對同一家企業內其他用戶的內部攻擊。”

圖2：微軟是最大的網絡釣魚目標

Office 365網絡釣魚電子郵件常常表示收件人的帳戶已被暫停或禁用，然后提示收件人登錄以解決問題。這些網絡釣魚表單與合法的Office 365幾乎一模一樣;通過營造一種緊迫感，攻擊者希望受害者在輸入登錄信息時不那么警惕。

圖3：標題

緊隨微軟后面的是攻擊者企圖獲取受害者錢財的PayPal網絡釣魚詭計和旨在竊取信用卡信息的Netflix詭計。

尤其值得關注的是，攻擊者在哪幾天發送大量的網絡釣魚電子郵件方面遵循一定的模式。報告聲稱，大多數與工作有關的攻擊往往發生在工作周，而周二和周四是數量最多的兩天。對于Netflix來說，最易中招的日子是周日，這天人們往往窩在家里看電視。

圖4：一周內每天的網絡釣魚數量

網絡釣魚攻擊變得更具針對性

Vade Secure還注意到，攻擊者開始減少某個特定的URL用于網絡釣魚活動中的次數。相反，攻擊者在每封網絡釣魚電子郵件中使用唯一的URL以繞過郵件過濾器。

Vade Secure的報告繼續說：“安全專業人員應更加擔憂的是，網絡釣魚攻擊變得越來越有針對性。當我們將網絡釣魚URL數量與我們的過濾器引擎阻止的網絡釣魚電子郵件數量關聯起來，就發現每個URL發送的電子郵件數量在第三季度減少了64%以上。這表明黑客在較少的電子郵件中使用每個URL，以免被基于聲譽的安全防御系統發現。事實上，我們已看到一些狡猾的網絡釣魚攻擊，每封電子郵件都含有唯一的URL，實際上保證它們可以繞過傳統的電子郵件安全工具。”

保護自己免受網絡釣魚攻擊

隨著網絡釣魚攻擊變得越來越狡猾，它們也越來越難以被發現。攻擊者現在使用云服務，能夠用來自微軟和Cloudflare等可信賴的知名公司的SSL證書為網絡釣魚表單增添可信度。那樣表單在受害者看來貌似是真實的。

正如你從下面的網絡釣魚攻擊中看到的那樣，登錄表單看起來正規，該網站在微軟擁有的域中，頁面也是安全的。在許多人看來，這似乎是正規的微軟表單。實際上，攻擊者將其表單托管在微軟云服務上，以營造這種正規的感覺。

圖5：Azure博客網絡釣魚表單

因此，在輸入任何登錄信息之前仔細檢查網站始終很重要。如果URL看起來很奇怪，拼寫錯誤，語法不正確，或者感覺哪里有異樣，就不該輸入任何帳戶登錄信息。如果你擔心自己的帳戶出現問題，請與管理員或公司本身聯系。

原文標題：Phishing Report Shows Microsoft, Paypal, & Netflix as Top Targets，作者：Lawrence Abrams

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】