根據網路平臺業者Cloudian所發布的一項調查,網路釣魚仍是勒索軟體集團所使用的主要駭侵途徑之一。該調查針對過去兩年曾遭遇勒索軟體攻擊的200名IT決策者進行訪談,其中超過一半受訪者所處的單位,在遇襲前曾經舉行過網路釣魚相關的內部訓練,49%的受訪者則是在具備基礎防禦措施的情況下仍然遇襲。
將近 25% 受訪者表示其所遭遇的勒索軟體攻擊始於網路釣魚,在這些受害者中,65%曾接受過反網路釣魚培訓課程。在所有受害者當中,大約有三分之一表示公共雲端系統是勒索軟體集團的駭侵入口。
報告指出,上述現象反映出網路釣魚手法越來越成熟,駭客還會透過假冒信任的聯絡人(例如高階主管)的電子郵件發動攻擊,這些電子郵件有時還會包含個資(通常來自社群媒體),即使謹慎的人亦可能受害。
勒索軟體集團的駭侵速度也令人吃驚,56%受訪者表示,駭客有辦法於12小時內挾持資料並發送贖金要求。在遭受網路釣魚攻擊的企業中,76%受訪者指出駭客於12小時內接管系統。
報告補充,44%受訪者的所有資料都被勒索軟體集團挾持,其中包括財務、營運、客戶及員工資料。一旦遭駭,企業平均必須停業3日。在遭駭成本方面,受害企業平均財務損失額度為近50萬美元,55%受訪者最終選擇支付贖金,平均額度為22.3萬美元。但將近15%受訪者表示他們支付50萬美元或更多贖金,即使支付贖金,也僅有57%受訪者能取回所有資料。
所謂「道高一尺,魔高一丈」,即使企業已做好準備,駭侵攻擊仍難以預防。勒索軟體可迅速滲透組織,並對組織造成重大影響,即使支付贖金,因應勒索軟體攻擊的其他成本,加總之平均額度高達18.3萬美元。
平均而言,雖然受害者能透過保險給付成本總額的60%,但將近90%受害者表示,保險費率在遇襲後增加,平均增幅為25%。
相關連結:
Jonathan Greig (2021).Phishing continues to be one of the easiest paths for ransomware.
檢自:
https://www.zdnet.com/article/phishing-continues-to-be-one-of-the-easiest-paths-for-ransomware-report/ (Jul. 23, 2021)
