EMEA 网络钓鱼模式： F5 SOC 的见解

对于那些真正从事钓鱼（钓真正的活鱼）的人来说，时机很重要并不是什么秘密。 某些种类的鱼比较活跃，因此可能在早上捕获，有些鱼可能在晚上捕获，还有一些鱼可能在午后捕获。

事实证明，如果我们根据 F5 SOC 在 2015 年收集的针对欧洲、中东和非洲 (EMEA) 金融机构的网络钓鱼尝试的统计数据来解释那些进行此类活动的人所表现出的模式，那么数字网络钓鱼也没有什么不同。 

时机至关重要

如果您想避免遭受 EMEA 地区的网络钓鱼攻击，那么开展金融业务的最佳日子就是星期六。 2015 年，只有 5% 的袭击发生在周五和周日，而周五和周日的袭击率仅为 12%。

星期一的坏名声确实不假，因为星期一发生的攻击次数（20%）比其他任何一天都多，尽管一周中其他时间的情况也好不到哪里去。 IDC 的研究表明，工作场所的互联网访问时间有 30-40% 都花在了与工作无关的活动上[1]，因此金融机构在工作日平均遭受的攻击比周末多也就不足为奇了。

数据进一步证明，大多数网络钓鱼攻击都发生在工作时间。

2015 年，在月初遭遇网络钓鱼攻击的可能性比在月末遭遇网络钓鱼攻击的可能性高出 200%。 网络钓鱼攻击在本月的第一周达到顶峰，随后逐渐减少，工作日的活动较多，而周末的活动较少。

毫不奇怪，在整个 EMEA 地区，大多数雇主都是在月初或月末发放员工工资。 F5 SOC专家指出，再加上欧盟46%的平均网上银行使用率[2]，这可能是我们在月初看到攻击急剧上升的原因，因为那时员工会登录网上银行系统支付账单或查看工资是否已经存入。

选择正确的诱饵

在现实世界中钓鱼时，没有哪个话题比哪种诱饵最好更有争议。 颜色、大小、动作以及诱饵模仿“真实”世界的程度都是重要因素。 毕竟，我们试图让鱼相信我们使用的诱饵是真的，希望它们会咬钩。 数字世界中的金融数据网络钓鱼者所使用的诱饵和网站也是如此。

事实证明，就像鱼需要花费很大力气才能被说服一样，潜在的网络钓鱼受害者也需要花费很大力气才能被说服。 F5 SOC 发现，平均而言，人们需要访问欺诈页面 9.14 次才会上当。

专家花费大量时间评估发现的欺诈网站，以便尽可能多地了解网络钓鱼者及其技术。 事实证明，他们可以通过网络钓鱼攻击中使用的 URL 了解很多有关攻击者的信息。 2015 年，人们注意到，十分之一的欺诈网站要么托管在根方向，没有任何其他路径，例如 www.phishingsite.com 或 www.phishingsite.com/index.html，这表明这些服务器是专门为托管欺诈网站而准备的。 这意味着它们很可能是专门为网络钓鱼攻击而购买的。 通常情况下，攻击者会入侵现有网站并向其注入恶意内容，因此这一举动令人不安，因为该网站的设置不易被其他预防手段（例如 Web应用防火墙）检测到。

考虑到 2015 年报告的困扰流行系统的严重漏洞数量，发现 15% 的欺诈网站托管在 Word Press 文件夹中并不奇怪。 未修补和/或未解决的漏洞很容易被那些寻找托管恶意代码和欺诈网站的人利用。

此外，F5 SOC专家指出，20% 的 URL 路径是根据每个受害者动态生成的，因此很难用传统的安全措施来阻止。 这也导致了 2015 年删除或关闭欺诈网站的平均时间延长。

好消息是，当最终用户凭证被盗时，关闭欺诈网站所需的时间更短。 坏消息是，在此期间许多用户仍未受到保护，因此没有意识到潜在的危险。

F5 SOC 建议监控与官方名称相似的域名，以减少建立和检测之间的时间。 许多虚假页面尽管不一定托管在具有相似名称的域名上，但在攻击 URL 中包含官方字符串。 一般来说，F5 SOC建议在互联网上搜索这些特定的词。 针对欧洲、中东和非洲地区金融机构的网络钓鱼攻击往往在周一至周四的工作时间最为活跃。 时间是防止消费者成为凭证盗窃受害者的关键，因此尽快分析和关闭所有虚假页面非常重要。

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

您可以在WebSafe 数据表和MobileSafe数据表中了解有关 F5欺诈防护的更多信息。 要了解有关 F5 安全运营中心的更多信息，您可以查看F5 SOC 数据表