2018年第三季全球網路釣魚趨勢報告出爐

反網路釣魚工作小組(Anti-Phishing Working Group,APWG)於去年12月11日發佈「2018年第三季全球網路釣魚趨勢報告」,結果顯示,釣魚網站的數量自去年第一季大幅攀升後,到了第三季已漸趨平穩,但駭客的攻擊手法及偽裝技巧皆益發精進,另外,以雲端儲存和網路空間為目標的網路釣魚,從第一季的11.3%到第三季已滑落至6.5%,而金流支付處理相關產業仍是最常見的攻擊目標。

從網域的屬性來看,被用作釣魚網站的域名當中,通用頂級域名(generic top-level domain,gTLD,如.COM、.ORG或.INFO)的占比仍是最高的,比例高達59.4%,新通用頂級域名(nTLD,如.TOP和.ACCOUNTANT)占了10.2%,而國家頂級域名(ccTLD,如代表英國的.UK和代表墨西哥的.MX)則占了30.4%。

報告也指出,現在許多釣魚網站都受到HTTPs的保護,HTTPs的功能是加密個人與造訪網站間交換的資料,本意是用來保護網路間的通訊。也因此,對提供線上交易和受密碼保護帳號的網站而言,此通訊協定非常重要。如今此安全功能反被駭客利用,不少網路用戶因此上當受騙。2016年底,僅有不到5%的釣魚網站使用HTTPs,到了2018年第三季,使用SSL/TLS加密的釣魚網站數量暴增到49.4%,報告中推測,攻擊者可能在獲取憑證後,直接使用在其DNS基礎建設中。另外,隨著越來越多合法網站使用SSL憑證,駭客入侵並佔用具憑證的網站勢不可免,報告中也預測,未來提供免費憑證的認證機構遭駭客濫用的情況會越來越嚴重。

回到頂端