微软在2018年的《安全情报报告》(Microsoft Security Intelligence Report)中指出,网络钓鱼依旧是***执行***的首选之一,从去年1月到11月间,内含网钓讯息的电子邮件比例增加了250%。微软每月约扫描Office 365中逾4,700亿封的电子邮件,去年1月时,邮件中含有网钓讯息的比例是0.25%,但到了去年11月便增加到0.55%。随着用来保障网钓***的技术与工具愈来愈多,***的***手法也愈精密,不再使用单一的URL、网域或IP地址来传送电子邮件,而开始利用各种代管基础设施或是公有云展开***,以躲避侦测,例如透过热门的文件共享或协作网站及服务来散布恶意档案或是伪造的登入接口。
![你被钓到了?微软:去年网钓邮件比例来到250%]()
***在网钓***中经常采用的手法包括域名欺骗(在邮件中采用与原始网域同样的域名)、假冒域名(使用以假乱真的域名)、冒充使用者(邮件看起来是来自信任的对象)、文字诱饵(内容似乎来自银行、政府或其它合法机构,通常要求用户提供用户名称或密码等机密信息)、凭证网钓链接(连结到伪造的服务登入页面)、在邮件中夹带网钓文件,或是直接连结到伪造的云端储存服务以骗取使用者凭证。网钓***通常是***企图***企业网络的第一步,且当中最脆弱的环节就是使用者,微软建议企业应该针对员工展开教育训练,对各种网钓手法提高警觉。
