网络威胁奥德赛:识别网络钓鱼攻击的地理位置和网络特征

当前局势一直在扰乱全球的行业和企业，迫使他们在这种新常态下采用抑制损害的策略和新的运作方法。该战略主要围绕全球向远程工作的转变以及端到端运营的必要数字化转型，以在大流行后环境中保持业务的维持和连续性。然而，这种看似突然的转变以及总体数字化与远程工作相结合，也使网络安全威胁和专门网络钓鱼攻击的风险成倍增加，导致企业领域损失数十亿美元。

去年 3 月 1 日至 3 月 23 日期间，我们的网络检测到467,825 次鱼叉式网络钓鱼电子邮件攻击。攻击背后的目标包括分发恶意软件、窃取凭据和经济利益。攻击者利用大流行带来的恐惧、不确定性甚至同情来确定一些关键情绪。在去年利用与冠状病毒相关的网络钓鱼攻击在全球大流行之后，网络犯罪分子一直试图利用疫苗来窃取金钱和个人信息。

一个最近的一项研究分析了网络钓鱼电子邮件的地理和他们的流通通道。通过检查超过 20 亿封电子邮件的地理位置渠道和网络基础设施，发现大多数网络钓鱼电子邮件来自东欧、中美洲、中东和非洲的某些国家/地区。还得出的结论是，与无害的电子邮件相比，网络钓鱼电子邮件更有可能通过更多的地理位置被驱散。

更有趣的是，研究团队还发现，来自大型真正云服务提供商的网络钓鱼攻击数量出乎意料地高。这种现实的偶然性很有可能，因为已经证实攻击者拥有复杂的手段来渗透和破坏合法服务器或这些提供商泛滥的电子邮件帐户。

让我们仔细检查地理位置和网络基础设施如何在网络钓鱼攻击中发挥作用，并评估最先进的解决方案如何帮助识别、限制和控制网络钓鱼攻击。

网络钓鱼威胁旋风

为了进行网络钓鱼攻击，网络犯罪分子正在使用社会工程策略诱使受害者透露用户名、密码、信用卡号或银行信息等个人信息。网络钓鱼检测主要关注网络钓鱼电子邮件的内容和攻击者的行为。随着网络钓鱼攻击变得越来越复杂，需要复杂的方法来防御这些攻击。通过对网络钓鱼攻击的地理位置和网络方面的深入分析，可以首先防止此类攻击的发生。

网络钓鱼电子邮件可能包含导航许多国家/地区的路线

已经确定，虽然 80% 的良性电子邮件通过两个或更少的国家/地区传输，但大约 40% 的网络钓鱼电子邮件通过两个或更多的国家/地区发送。因此，可以暗示电子邮件经过的不同国家/地区的数量可以作为网络钓鱼检测分类器的合理方面。

东欧、中美洲、中东和非洲的部分地区显示出更可能成为网络钓鱼途径的国家/地区。

在数据集中产生超过 1,000 封电子邮件且钓鱼概率较高的发件人来自以下国家或地区(按降序排列)：立陶宛、拉脱维亚、塞尔维亚、乌克兰、俄罗斯、巴哈马、波多黎各、哥伦比亚、伊朗、巴勒斯坦和哈萨克斯坦是发件人产生大量网络钓鱼电子邮件且网络钓鱼概率较高的一些地区。

但是，一些国家/地区的网络钓鱼来自它们的数量很大，但网络钓鱼的可能性仍然极低。例如，数据集中的 129,369 封钓鱼邮件来自美国，但美国只有 0.02% 的钓鱼概率。一般而言，大多数国家/地区的网络钓鱼概率为 10% 或更低。

攻击者利用大型合法的云服务器来策划他们的攻击

出现最多网络钓鱼攻击的网络由合法的云服务提供商运营，例如亚马逊、微软和 Twitter。然而，网络钓鱼攻击者数量最多且钓鱼概率高的网络仍然属于云服务提供商，如 LayerHost (0.277)、UnrealServers (0.334)、REG.RU (0.836)、Cherry Servers (0.760) 和 Rackspace ( 0.328)。这是可能的，因为攻击者可以破坏这些提供商托管的合法服务器和/或电子邮件帐户。

防御网络钓鱼攻击

-

网络犯罪分子继续发展他们的战术和手段违反电子邮件网关和垃圾邮件过滤器，就必须优化的解决方案，能够识别和维护对矛网络钓鱼攻击，例如，品牌模仿，企业邮箱妥协和电子邮件帐户接管。必须使用的解决方案不仅依赖于检测恶意链接或附件，而且还利用机器学习来评估公司正式业务网络内的一般通信模式，以识别可能暗示任何即将发生的攻击或网络钓鱼攻击的潜在异常。

想象超越外部电子邮件也很重要，因为一些最可信和最灾难性的鱼叉式网络钓鱼活动是从受感染的内部帐户传播的。毕竟，攻击者必须避免利用企业作为他们开始鱼叉式网络钓鱼攻击的大本营。出于业务安全和数据安全的考虑，需要优化最先进的人工智能来识别帐户何时被破坏。这有助于通过通知用户并消除从受感染帐户发送的恶意电子邮件来实时启动纠正过程。

用户还需要对在不断变化的威胁矩阵中更强大的最新鱼叉式网络钓鱼攻击、策略和方法保持警惕。为确保这一点，企业可以将最新的用户意识培训计划扩展到其员工，以便他们能够检测潜在的攻击轨迹并将此类事件报告给其 IT 安全团队。他们可以进一步优化电子邮件、语音邮件和 SMS 的网络钓鱼模拟，以指导用户检测网络攻击、进行培训的有效性测试以及评估最易受攻击和易受攻击的用户。

自大流行爆发以来，鱼叉式网络钓鱼活动和网络钓鱼攻击显着增加。来自众多东欧、中东和非洲国家的攻击者抓住这个机会，对无人看管的远程工作者和家庭操作员发起复杂的罢工，可能造成价值数十亿美元的损失。因此，通过部署最新的高级网络安全解决方案堆栈以及学习最佳安全实践来确保在转变的新常态下增强业务安全性，保护数据和私人凭证至关重要。