网络钓鱼网站如此猖獗，有何防范措施呢？

在众多的网络攻击中，网络钓鱼攻击可以说是网络攻击者最喜欢使用的攻击手段了，并且这种攻击的方式，也很容易让攻击目标上当，此外在网络钓鱼攻击中，黑客还可以通过这种攻击，进行收集被攻击者的个人敏感数据。

一般的钓鱼攻击都是通过电子邮件来进行攻击的，这种攻击也会被黑客利用来，进行传播恶意软件，在受害者安装恶意软件后，黑客就会进行勒索软件以及传播木马等，各种破坏性的攻击。

据相关统计分析，2021 年，卡巴斯基邮件反病毒软件拦截了 148 173 261 个恶意电子邮件附件。另外，卡巴斯基的反网络钓鱼系统拦截了253 365 212个网络钓鱼链接；安全消息阻止了 341 954 次尝试跟踪信使中的网络钓鱼链接。其中，以投资为主题的钓鱼攻击在2021 年发展迅速，诈骗者利用成功人士和知名公司的名字来吸引注意力并获得投资者的信任。

根据APWG最新发布的网络钓鱼活动趋势报告，2022年第一季度共检测到1,025,968次网络钓鱼攻击，创下季度历史新高。2022年3月发生了384,291次攻击，创下月度攻击次数的纪录。

根据OpSec Security最新发布的报告，2022年第一季度网络钓鱼攻击显著增加，其中针对包括银行在内的金融机构的网络钓鱼攻击最多，占所有网络钓鱼的23.6%。针对网络邮件和软件即服务(SaaS)提供商的攻击仍然猖獗。

例如，近期，Bleeping Computer网站就表示，有研究人员发现了，由1.1万多个网络组成的网络钓鱼网站，这些网站目前正在针对欧洲用户进行推广虚假的投资计划。

据了解，在这次的网络攻击中，网络攻击者会伪装成名人代言，利用广告进行吸引YouTube和Facebook用户，在这些用户点击后，就会被重定向到投资成功的登录页面，在登录页面会被要求提供联系信息，在获取联系信息后，就会不断的进行诱导。另外，这些钓鱼网站还会对用户的信息进行收集，并在暗网中售卖。

再如，近期，来自ThreatLabz的安全研究人员发现了一批大规模针对使用微软电子邮件服务的企业的网络钓鱼活动。该活动使用中间人攻击 (AiTM) 技术以及多种规避策略。ThreatLabz表示，这些网络钓鱼攻击第一步就是向受害者发送带有恶意链接的电子邮件，威胁参与者几乎每天都在注册新的网络钓鱼域名，并且大多数目标企业是金融科技、贷款、金融、保险、会计、能源和联邦信用合作社行业等行业。

钓鱼为何如此猖獗？

据《2022年数据泄露成本报告》的十大关键发现之一：虽然凭据被盗仍然是最常见的数据泄露原因(19%)，但网络钓鱼是第二大(16%)也是最昂贵的原因，给受访组织造成高达491万美元的平均泄露成本。

事实上，钓鱼网站并不是多复杂的网络攻击，但还是有很大一部分人上当，可以说是防不胜防了。上网查阅了一些资料，综合各方意见，钓鱼网站如此猖獗的原因可能如下：

首先，钓鱼网站似乎已经形成了地下产业链。从钓鱼诈骗代码的编写，到诈骗代码销售，在利用代码建立钓鱼网站，到最后实施诈骗金钱，整个环节环环相扣，已形成了一个“严谨”的产业利益链条。而且网络钓鱼工具是一种可以随时部署的软件包，只需花最少的力气就可以使用。此外，它们的开发人员通常会向没有经验的诈骗者提供产品说明。

其次，有需求就有市场。“诈骗”虽然是违法行为，但它“一本万利”、“低成本高收益”，吸引着无数犯罪分子“前赴后继”。因为制作一个钓鱼网站只需要几百元，而诈骗一个受害者可能会有上万、上百万。只要上传、发布网络钓鱼网站，犯罪分子不需要露面就能诈取高额钱财，因此，犯罪分子也就在这种高利益的驱使下加入到了这个诈骗行列。

再者，搜索引擎在很大程度上也驱使了钓鱼网站的横行，现在人们已经习惯从搜索引擎进入到网站中，甚至在访问银行、订票、购物等网站时也通过搜索引擎登陆。而不法分子就是通过搜索引擎将钓鱼网站展示在网民面前。让网民误点进入，然后诈取网民的钱财。此外，一些黑客也是如此诱骗企业员工点击钓鱼网站，进而黑入企业内部系统，窃取企业数据，或以此勒索企业，或将这些数据进行售卖获利。

有何措施防范钓鱼网站

面对如此猖獗的钓鱼网站，有哪些措施可以帮助企业和个人提高网络钓鱼攻击的“免疫力”呢？

第一，网络钓鱼会运用各种社会工程技巧，最常见的就是利用人员的情绪冲动和应激反应。因此，企业员工在面对触发焦虑的电子邮件要保持高度警惕和冷静，不要急于采取行动，而是寻求专业的帮助，让IT同事或专业人员检查该疑似电子邮件。

此外，网络钓鱼者经常会伪造高级管理层的“紧急请求”邮件或语音通话来诱使员工忙中出错，未经核实就转账资金或泄露账号密码。因此，员工也要保持冷静，根据制定的高管紧急请求的处置政策和程序，先和主管确认。

第二，钓鱼网站之所以这么容易成功，关键在“人”。因此，企业要加强员工网络安教育，提升他们辨别钓鱼邮件的能力，且这种培训是持续性的。同时，也要定期进行钓鱼邮件演练测试。尤其是新人入职后，安全部门要协助新员工保持警惕。

第三，企业还可以考虑设置一个钓鱼邮件举报的奖励系统，鼓励员工举报钓鱼邮件。相信，在金钱的“钞能力”下，有不少员工会加深记忆、提高警觉性。这也将有助于促进一种规范地报告可疑电子邮件的文化。

第四，完全杜绝员工收到网络钓鱼电子邮件是不可能完成的任务，也不可能每个员工都能时刻警惕。因此，企业有必要使用一些安全的办公工具和技术来防止网络钓鱼邮件。例如，实施多因素身份验证(MFA)、单点登录(SSO)、身份即服务（IDaaS）等技术，降低员工账户密码被钓鱼的可能；再如，使用数字办公空间这样的安全办公空间，将所有办公应用托管到空间内，而企业只需登录办公空间账号即可登录所有应用，如此，可防止账密泄露。

第五，最难防范的网络钓鱼是那些从被入侵的合法企业电子邮件地址发出的邮件，因此企业需要通过暗网监控及时发现邮件账户密码是否已经泄露，并要求受影响的个人立即更新密码。同时，企业需要为高管制定专门的数据隐私政策和预案，并鼓励高管和高级员工在社交媒体上减少隐私暴露，并确保尽可能从公共档案中清除或减少个人信息。

最后，需要提醒的是，如果企业即使遵循了相关的网络钓鱼防范建议（不仅限于文中提到的），也不能完全避免网络钓鱼攻击的发生，那么，IT和安全团队需要为攻击发生后的响应制订预案。因为，当员工成为网络钓鱼的受害者时，IT部门埋怨员工是没有用的。安全团队必须制定计划来应对遭受网络钓鱼攻击的用户，并对网络钓鱼事件的响应进行桌面演练。