網路釣魚攻擊成本低、成功機率高,已經成為駭客最喜歡的攻擊手法,攻擊次數與日俱增。根據RSA最新網路詐欺報告,與2009年相比,2010網路釣魚攻擊次數增加了27%,M86 Security也有相同看法。
M86 Security於日前發布2010年下半年度資安威脅報告,報告中指出,第三方網路釣魚詐騙持續成長,最新的詐騙手法是偽裝成國家稅務單位,以退稅通知的名義發出釣魚郵件,並提供許多銀行名稱供使用者選擇,讓使用者不疑有他地填寫帳戶資料,包括美國、英國、澳洲、南非和印度皆先後傳出受害案例。
RSA報告則表示,網路釣魚攻擊除了如上所述,在一次攻擊中同時鎖定幾家銀行,而不是只鎖定一個銀行的網站,另外還有2個發展趨勢:
第一、鎖定OTP等雙因素認證方法,駭客同樣假造釣魚網頁,誘騙使用者填入OTP,並立即登入、轉帳到人頭帳戶,與過往記錄使用者帳密日後再使用的做法不同。
第二、將非金融機構列為攻擊目標,像英國政府發放助學貸款的入口網站、MMPORGs線上遊戲網站、ISPs等,皆成為網路釣魚的攻擊目標。
與其他資安攻擊手法相比,網路釣魚雖然沒那麼複雜,攻擊次數卻是不斷攀升,也不停地在進化發展,甚至在2011年,駭客還是會持續開發新的攻擊手法與策略,網路使用者必須更加小心才能避免受騙上當。