扫码就能盗余额？ OneDNS揭秘：这些行业易受网络钓鱼攻击

据雷锋网公众号消息，某知名互联网门户因钓鱼邮件导致员工工资卡内余额被盗。随后25日中午，微博名为“搜狐charles”用户发布信息称，因搜狐员工内部邮箱被盗，进而受到网络钓鱼攻击，并表示目前技术部门及时介入，损失较小。

微博“搜狐charles”用户发布信息说明引发此次钓鱼攻击的原因，并表示事态已得到控制

综合当前信息进行溯源追踪，经微步在线情报局确认，这是Ganb黑产组织（微步在线内部命名）发起的又一次“网络钓鱼”攻击。微步在线情报局最早在去年就追踪到这一网络钓鱼组织，该组织在今年3月首先针对境内金融行业发起过一波“钓鱼邮件”攻击。

Ganb黑产组织在今年3月的网络钓鱼攻击中所使用的附件正文与二维码

经溯源可推断，此次钓鱼攻击中，该黑产组织首先盗取了某员工的内部邮箱密码，然后冒充财务部门群发邮件，该组织利用DGA域名生成技术，生成了大量用于做为跳板的DGA域名，将其制成二维码。受害者通过手机扫描二维码来解析到对应的钓鱼页面。

Ganb黑产组织在今年3月发起的钓鱼攻击中，扫码跳转后的网页截图，要求受害者输入身份证、银行卡以及卡内余额等信息

由于疫情与全球经济低迷影响，不管是OneDNS还是第三方数据统计都表明，网络钓鱼攻击的覆盖范围和频率正显著上升，据OneDNS针对2021年的网络威胁拦截情况数据显示，在2021年前三季度，网络钓鱼攻击频次相对较为稳定，但到第四季度，其攻击频次陡增，全年40%以上的钓鱼攻击都发生在第四季度。

OneDNS针对2021年网络钓鱼攻击统计，在第四季度，网络钓鱼攻击频次大幅提升，相比第三季度，增长了近1.5倍以上

同时，除了攻击频次增长以外，用于网络钓鱼的域名数量也大幅增加，从OneDNS的统计数据来看，尽管2021年前三季度网络攻击频次相对稳定，但追踪到的用于网络钓鱼的域名数量一直成倍数增长，第四季度用于网络钓鱼的域名几乎是第一季度的9倍。

OneDNS追踪到的，2021全年用于网络钓鱼的域名数量增长情况

用于网络钓鱼的域名数量成倍增长，一方面是因为攻防双方的对抗升级，让黑客团伙不得不投入更多的域名以实现更大范围的攻击。另一个更重要的原因在于，据微步在线情报局针对Ganb黑产组织的追踪显示，该组织采用了“一人开发，分销多人”的模式，即上游系统供应商负责开发出相应管理平台框架，开发完成后对其下游销售系统账号的使用权限，涉及多人。

正是因为这种相对精细化的“合作-分工”模式，不仅让网络钓鱼的“效率”更高，同时攻击范围也进一步扩大，行业覆盖极为广泛。

据OneDNS针对2021年网络钓鱼攻击统计数据显示，网络钓鱼攻击广泛分布在国内各个区域，其中以“长三角”为代表的华东区域是网络钓鱼的重灾区

网络钓鱼攻击所针对的行业分布情况

从上图可以看到，网络钓鱼特别青睐于金融行业，同时又对其他行业进行无差别攻击。据微步在线情报局提供的追踪数据显示，引发此次钓鱼攻击的Ganb黑产组织在今年3月首先就对我国金融行业相关企业进行过一波网络钓鱼攻击，随后通过“多人分销”的模式扩散至其他行业。

目前针对钓鱼邮件的防范，技术方面大多通过诸如安全邮件网关进行过滤，或者终端安全软件进行防护。但更主要的还是靠提高员工的安全意识，比如仔细核对网址、妥善保管并定期修改密码等等。

但网络钓鱼攻击通常都基于社会工程学，利用了员工的心理漏洞，绕过了企业的被动防御技术/措施，从而导致“中招”，这是网络钓鱼攻击屡屡得手最关键的因素之一，这就形成了目前的尴尬局面，防范网络钓鱼大多靠员工自觉，需要有“火眼金睛”去甄别。

被动防御难以奏效，这就要求安全从业者从一个新的角度，通过新的方法去主动防御。比如微步在线的OneDNS，通过DNS与威胁情报相结合，在点击链接或“扫码”跳转到“钓鱼网站”时，针对域名进行甄别，一旦发现是网络钓鱼等恶意域名时，就停止解析并返回拦截页面，提示访问有风险。

OneDNS拦截页面，OneDNS在域名解析时，会与威胁情报库比对，一旦发现是恶意域名，就会停止解析，并返回拦截页面

---

安全传送门

Free Trial

如果您也担心或正在为网络/邮件钓鱼烦恼

那么不妨试试OneDNS

现在扫码

即可免费使用OneDNS企业版90天

↓↓↓

400-030-1051

---

· END ·

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（微步在线）：扫码就能盗余额？ OneDNS揭秘：这些行业易受网络钓鱼攻击