售前咨询
技术支持
渠道合作

美国电信运营商Verizon移动端用户遭钓鱼攻击

4月7日消息,据外媒Bleeping Computer报道,美国电信运营商Verizon移动端用户遭钓鱼攻击,并欺骗用户窃取电话号码、ID、密码等私人数据信息。

Lookout Phishing AI首席安全研究员杰里米•理查兹(Jeremy Richards)称,“用于钓鱼活动的链接包括省略符‘ecrm’,这是Verizon电商用户关系管理平台的一个子域名。这些攻击在台式机上打开时,可以轻易看出是钓鱼域名,但在移动设备上,其‘伪装’效果让他们看起来是合法的。”

理查兹在一篇博客中写道:“当用户在移动设备上打开钓鱼邮件时,它看起来像是来自Verizon的客户资讯平台。然而事实上,攻击者已经注册了大约51个Verizon客户的钓鱼域名。”

据统计,其中用于钓鱼的域名主要包括:

目前Verizon已经收到问题反馈,并在第一时间暂停域名。而自去年11月下旬以来钓鱼网站一共执行过三次攻击事件,另外两次分别是在2019年2月和2019年3月。

在理查兹看来,由于许多移动设备缺乏传统的安全性,随着移动设备的使用,我们将继续看到此类攻击的增加。

对于上面的论调,Cofense首席技术官兼联合创始人亚伦•希格比(Aaron Higbee)持反对态度。他表示,尽管移动网络钓鱼攻击确实在增加,但这更多是基于消费者端的攻击。就攻击类型和多样性来分析,移动设备比台式电脑更安全。“这些攻击大多是针对消费者的欺诈行为,比如国税局(IRS)对一个社会安全号码或Netflix账户的欺诈。他们主要不是针对企业资质和业务数据。”

对此,Lookout的理查兹在接受Dark Reading采访时驳斥了这一观点,他坚称对攻击者来说,访问用户的移动Verizon账户十分有价值。他认为:“如果只是Netflix的账号还好,但如果用户是首席执行官或首席财务官,他们所获得的数据信息也许并非个人数据,攻击者可以利用窃取的凭证发起商业电子邮件攻击、欺诈性电汇和勒索软件攻击。”

据统计,基于移动设备的攻击数量逐年增长。例如,仅从2月到3月,报告的移动攻击次数增加了46%(其中59%是移动网络钓鱼)。面对日益增长钓鱼网络攻击,我们不能坐以待毙,不论是个人亦或是企业都应该有所作为:

用户个人:

1、提高自身保护信息安全的防范意识,对线上需要填写包含个人信息的网址进行确正版网站,不要经常使用同一密码。

2、使用安全软件进行隐私防护,不要随意登录公共WiF和木马病毒等窃取隐私类的风险,全方位防护信息安全。

3、看到疑似“钓鱼网址”请勿打开连接,尽力不要打开网址非HTTPS开头的连接,避免明文传输导致信息泄露。

网站企业:

1、严格控制信息的出入

针对网络攻击和未授权的访问,我们建议企业严格控制信息的出入,通过安全审计来检测和监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络以及系统的某些失效部件。

2、从标准的HTTP切换到HTTPS

使用加密功能,保持网站安全的最佳方式之一是从标准的HTTP切换到HTTPS;目前,对企业官网进行HTTPS加密部署SSL证书是目前最有效的网络安全保护!

相较于传统的HTTP明文协议,HTTPS协议可以确保传输数据的完整性和机密性,建立一条从用户端到网站服务器端的加密传输通道,通过复杂的握手协议,确保用户的传输信息不被第三方窃取或篡改。

另一方面,HTTPS加密协议还可以实现对网站身份进行验证,部署SSL证书后会在地址栏显示https://开头和锁形标志,用户可以通过查看(锁形标志)证书信息来确定真实性,避免被钓鱼网站盗取个人信息甚至骗取财物。

数安时代GDCA致力于网络信息安全,已通过WebTrust的国际认证,是全球可信任的证书签发机构。数安时代GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

数安时代GDCA一直以“构建网络信任体系,服务现代数字生活”的宗旨,致力于提供全球化的数字证书认证服务。为涉足互联网的企业打造更安全的生态环境,建立更具公信力的企业网站形象。如有兴趣可咨询客服。

 

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服