报导指出:Trusteer分析了多个曾经托管网络钓鱼网站的日志文件(访问记录),网络钓鱼邮件发出后,手机通常是用户第一个用于访问网站的设备。
2012年,趋势科技发现有4000个网络钓鱼网址是针对移动平台设计的。虽然这数字还不到该年度所有钓鱼网站数量的百分之一,但还是可以看出移动设备(智能手机、平板电脑等)的确会面临网络钓鱼攻击。
网络犯罪分子利用伪装成正常网站的钓鱼网站诱骗用户提供敏感信息,例如用户名、密码,甚至帐户的详细数据。
更值得担心的是,这些网络钓鱼攻击伪装成什么样的网站。在2012年,有75%的移动钓鱼网站伪装成知名银行或金融单位。一旦用户被诱骗泄露出这些网站的登录数据,网络犯罪份子就可以利用偷来的信息,通过受害者账号来进行未经授权的交易及购物。
部分钓鱼网站伪装成社交网站(2%)和网络购物网站(4%)。社交媒体钓鱼网站的数量这么少,可能是因为用户更喜欢使用这些网站的手机应用,而非直接在浏览器中访问这些网站,那伪造社交网站发动网络钓鱼攻击可能就不是个有效攻击的方法。
这数字和趋势科技的前十大钓鱼网站类型相符合,其中大部分是银行或信用卡网站。
图一、按行业分类的行动钓鱼网址
表一、前十大被用在移动钓鱼诈骗攻击的网站
移动设备上网络钓鱼趋势的出现,可以归因为移动平台的某些局限。例如大多数移动设备的屏幕尺寸较小,所以用户想全面检查网站是否带有网络钓鱼特征也很困难。大多数移动设备使用默认的浏览器,也让网络犯罪分子更容易规划攻击,因为只需要专注在一种浏览器上,而非很多种。
还有用户使用移动设备的态度问题。用户往往觉得这些简单的设备并不会有什么大的安全隐患。不过大多数用户不知道的是,任何在一般计算机上造成困扰的威胁,也同样都会发生在这些设备上。因此,使用这些设备时要更加谨慎小心才能安全地使用。
为了避免这些攻击,用户要小心点击电子邮件内的链接。可以的话,用户应手工输入或使用收藏家访问自己要去的网站。此外还可以安装安全应用程序,例如趋势科技移动安全个人版软件。我们二月的移动安全报告——《行动网络钓鱼:浮上水面的问题》里提供了许多关于移动网络钓鱼、数据窃取应用程序和其它移动设备安全秘诀等详细内容。