横向网络钓鱼用于攻击全球规模的组织
珠三一族网络和加州大学伯克利大学的研究人员,横向网络钓鱼代表了基于电子邮件的攻击中的复杂演变,在过去的七个月里,以这种方式在过去的七个月中针对了1个。
帐户接管仍然是增长最快的电子邮件安全威胁之一,但攻击者开始适应,引入新的方式来利用受损的账户,例如横向网络钓鱼,它使用劫持帐户将网络钓鱼电子邮件发送到一系列收件人帐户的联系人列表,从公司的密切联系到其他组织的合作伙伴。
在横向网络钓鱼目标的目标中,超过60%有多次受损账户。
有些人有几十个人的账户,将横向网络钓鱼攻击发送到其他组织的其他员工帐户和用户。
总计,研究员识别的154次劫持账户,集体向数百个横向网络钓鱼电子邮件发送到超过10万个独特的收件人。
安全意识培训公司的最新基准报告Inkenbe4表明,自2018年以来,所有行业和组织均规模的平均普通频率均为29.6%。
酒店业中的大型组织具有48%的最高的Phish-Prone百分比(PPP),因此最有可能使受害者成为网络钓鱼攻击,而运输业处于最低的风险,在该部门的大型组织进入PPP只有16%。
研究人员表示,由于横向网络钓鱼在合法账户中攻击了合法账户的隐性信任,因此这些攻击最终对最初的受害者组织遭到越来越大的声誉危害。
为了防御横向网络钓鱼攻击,研究人员表示,有三项重大的预防措施组织可以采取。
1.安全意识培训
提高安全意识培训并确保用户受过教育,这一新的攻击将有助于使横向网络钓鱼不太成功。
与传统网络钓鱼攻击不同,这通常使用假或伪造的电子邮件地址发送攻击电子邮件,横向网络钓鱼攻击是从合法的 - 但受损的账户中发送的。
因此,告诉用户要检查发件人属性或电子邮件标题以识别假或欺骗发件人不再适用。相反,应仔细检查所有链接的目的地。
2.先进的检测技术
由于横向网络钓鱼电子邮件来自合法的电子邮件帐户,因此这些攻击对于甚至培训和知识渊博的用户来说,这些攻击越来越困难。
组织应投资使用人工智能(AI)和机器学习的先进检测技术和服务,以便自动识别网络钓鱼电子邮件,而无需依赖用户识别它们。
3.双因素身份验证
组织可以做的最重要的事情之一,帮助缓解横向网络钓鱼的风险是使用强大的双因素认证(2FA),例如双因素认证应用程序或基于硬件的令牌,如果可用。
Barracuda的另一个最近发表的研究表明,94%的受访组织认为,电子邮件仍然是最重要的漏洞。
该调查还发现,87%的受访者希望电子邮件威胁在来年增加,75%的报告过去三年的电子邮件攻击稳步增加。
近一半(47%)的受访者表示,他们被电子邮件刺激了andersomwareattacks击中,31%是滥用电子邮件的受害者是滥用电子邮件的受害者,但大多数人(75%)表示,他们被品牌冒充袭击事件袭击,也被称为AbrandJacking。