由來自Google、PayPal、Samsung的專家,以及亞利桑那州立大學研究人員組成的研究團隊,花了一整年的時間,分析超過2千萬名使用者,拜訪超過40萬個釣魚網站,該團隊在近期發布的研究報告中,分享對釣魚網站整體生態,以及使用者與釣魚網站之互動情形的深入洞見。

首先,研究發現大部分釣魚攻擊的生命週期,也就是從第一個受害者出現,到最後一個受害者為止,平均長達21個小時。雖然反釣魚偵察單位通常能在首位被害人造訪釣魚網站後的9小時內偵測到釣魚攻擊,但從發現攻擊到瀏覽器針對釣魚網站顯示警告訊息,還要另外花上7小時。

研究報告中,將第一個受害者出現,到瀏覽器顯示警告訊息為止的時間,稱為釣魚攻擊的「黃金時段」。釣魚攻擊的受害人數在這個黃金時段中達到最高。研究也指出,即使黃金時段結束,瀏覽器已掛上警告訊息,還是會有受害者持續上鉤。根據資料顯示,37.73%的受害者即使看到警告,還是會前往釣魚網站。

報告中亦進一步分析使用者與釣魚網站的互動情形。研究指出,7.42%的使用者會在釣魚網站中填入個人機密資料,進而導致實際的金錢損失。

在深入分析後,研究團隊也發現雖然釣魚網站眾多,但其中真正有效,也就是真正成功盜取被害人個資的釣魚網站,其實寥寥可數。報告指出,高達近九成的受害者是被排名前百分十的釣魚集團所騙。

研究團隊將釣魚攻擊的盛行歸咎於反釣魚對策過於被動,常常太晚才偵測到釣魚攻擊。他們也認為業界缺乏協力反釣魚的合作精神,鼓勵各反釣魚單位應多聯手合作。

本報告全名為《日出日落:釣魚攻擊的生命週期和效應規模分析》(Sunrise to Sunset: Analyzing the End-to-end Life Cycle and Effectiveness of Phishing Attacks at Scale)。

原文連結:https://www.zdnet.com/article/phishing-campaigns-from-first-to-last-victim-take-21h-on-average/#ftag=RSSbaffb68

Photo created by freepik

Scroll to Top