依据最新发布的一份研究报告,通过在最近三个月内对超过三百万用户进行调查的结果显示,有超过45%的用户在访问过的钓鱼网站上提交了登录信息。
这项研究针对的是用户成功地访问钓鱼网站,而没有被网络浏览器内置的反钓鱼保护工具或者欺诈过滤器(类似对所有垃圾电子邮件进行过滤的效果)阻止的情况,结果发现,在采样的某个银行的一百万客户中,平均有12.5%的用户访问了钓鱼网站。
下面就是该报告中提供的一些重要数据:
Ø 在每次单独攻击中,上当的客户数量非常少(0.000564%),但由于网络钓鱼攻击的数量非常庞大,所有客户的数量加起来就非常多了
Ø 被重定向到一个钓鱼网站上的银行客户中,有45%的透露了他们的个人客户证书
Ø 每年大约有0.47%的银行客户成为钓鱼式攻击的牺牲品,这就意味着240到940万美元的损失(平均每百万网络银行客户)。
Ø 所有的金融机构都被攻击过,平均每星期出现16家钓鱼网站
Ø 这就意味着每家银行一年要遭受832起钓鱼攻击
报告中使用的逻辑类似我在以前发表的一篇文章中强调的逻辑,并且不同于另一份研究报告作出的,关于网络钓鱼攻击是如何盈利的,以及通常情况下,地下经济中数以千计的网络犯罪分子是怎样窃取对方市场份额的结论。
只要简单的数学知识和“来自第一线的观察”的现实观念,就可以理解这一点。举例来说,如果进行一次钓鱼攻击(垃圾邮件发送者可以提供相应的服务)发送5千万封电子邮件的成本是5百美元的话,只要有一名用户上当,损失了501美元,钓鱼攻击者就获得了成功,甚至还赚取了利润。
Ø 如果你还想深入了解的话,可以阅读下面的相关文章《钓鱼攻击者发明“聊天中攻击(Chat-in-the-Middle)”的新手段》;《针对成功钓鱼攻击动态的最新研究》;《研究报告:76%的钓鱼网站来自存在漏洞的服务器》;《微软正在研究破除钓鱼工具盈利能力的方法》;《微软正在研究破除地下经济盈利能力的方法》;《钓鱼攻击者之间的欺骗活动越来越多》;《自助式钓鱼工具包引入新功能》;《为保证质量,钓鱼攻击者开始验证信用卡号码》;《钓鱼式攻击带来共享数据的泄露每年造成3亿美元的损失》。
Trusteer安全公司的报告发现了一个有趣的现象,实际上在潜在受害者主机上的,不仅仅是钓鱼网站本身,而且如果有表面上的托管的话,显然也在设法绕过反垃圾邮件/钓鱼攻击保护工具。
对于一家钓鱼网站来说,平均活动时间取决于很多因素,通过共享数据、加强对更多用户的保护,业界和安全团体还可以做的更好,进一步消除系列自发式钓鱼攻击带来的损失。根据调查报告的分析显示,这一做法带来的好处是每年最多可节省3亿美元。
共享数据可以获得更好效果的结论最近被英国权威IT安全杂志《病毒公告》(Virus Bulletin)进行的一次关于反垃圾邮件解决方案团体评测的结果所证实,它们得出的结论是,“协同工作的效果好于单独产品的作用”:
“在测试中,近20万封电子邮件被发送到14种不同的反垃圾邮件解决方案中,它们需要对邮件进行过滤,并将垃圾邮件标注出来。结果发现,正常的电子邮件没有被超过4种产品所阻止。在测试结束后,反垃圾邮件小组决定将进一步分析这种现象,并建立了一个高级过滤器将被所有产品中至少5种确认的电子邮件标注为垃圾邮件。
不象任何一个单独的产品,该高级过滤器完全没有产生误报,并且以整体垃圾邮件捕获率99.89%和几乎为0的误报率而让人印象非常深刻(比测试中所有单独产品的效果都好)。”
尽管从长远的角度来看,钓鱼式攻击还有潜力,不可避免的本地化成功得做到了利用用户的母语传递信息产生了深远的影响,Zeus、Limbo、Adrenalin和URLZone之类的银行类恶意软件也是犯罪软件,依旧是金融业最大的敌人,甚至大于无论多糟糕的经济预测。
对于银行帐户,你应该采取务实有效的管理方式。通过LiveCD进行交易,询问银行有关每日取款限额的情况,并将它们设定为符合你的需求,并询问短信提醒服务的情况,以便可以实时接收到帐户的转入和转出交易信息,将其作为银行帐户的早期预警系统使用。