官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

截止2021年11月3日，较上年（2020年）数据来说，针对新能源产业员工的移动端钓鱼攻击上涨了161%，且毫无减慢的趋势。

网安公司Lookout表示，尽管过时又易受攻击的设备困扰着各行各业，但新能源产业首当其冲，金融、制药、政府部门及制造业紧随其后。

按照攻击的地理位置来看，亚洲太平洋位列前茅，随后是欧洲，然后是北美。然而，现在的上升趋势是钓鱼攻击已经瞄准了全球能源产业。

移动端网络钓鱼攻击在2021年上半年激增，新能源产业近20%的员工成为其目标，导致过去六个月该攻击增加了161%。

VPN凭据收集

由于新冠疫情影响，许多人不得不居家办公，许多雇员都使用VPN访问企业网站。这种远程对企业网站的访问对于利用钓鱼软件的攻击者来说，是绝好的窃取VPN凭据或域凭据的机会。根据Lookout研究员对于钓鱼软件事故的分析，67%的攻击者存在凭据盗窃的行为。为了实施这些行动，攻击者会借助电子邮件、短信、钓鱼软件和伪造企业网站的登录页面等手段。
这些凭据能让攻击者获得内部网络的访问权限，方便之后的行动或其它的切入点。借此，攻击者能够定位到易入侵的系统，并对带有多年未识别漏洞的工业控制系统发起攻击。

Android 危机

根据调查，最主要的攻击源于56%的安卓用户仍在使用过时并易受攻击的操作系统版本：“能源产业的雇员仍在使用过时的谷歌版本与苹果操作系统，这些老版本将公司暴露在数以百计的漏洞中，而这些漏洞一旦被别有用心的攻击者利用便能随意访问公司环境。”

在安卓11公布一整年后的今天，只有44.1%的安卓活跃设备在使用该系统。
相较而言，由于大多数iOS用户运行的都是最新系统，iPhone中可被利用的漏洞远少于安卓。在整体用户基数中，安卓系统旧版本里的一些漏洞都很容易被利用。例如，Chrome中的CVE-2020-16010能够通过特制的HTML页面被轻而易举利用，并且考虑到该浏览器的流行度，在所有过时安卓手机上该漏洞都会暴露。

风险软件比恶意软件更危险

一些App要求风险允许和对设备上敏感数据的访问同意，这相较于“纯粹的”恶意软件来说其实是更大的问题，因为这些软件更容易通过app商城的审查。许多应用程序背后连接到一个模糊的服务器，并给用户发送与其核心功能无关但仍对用户和其公司构成巨大风险的不同类型数据。间谍软件、键盘记录器、特洛伊木马程序，甚至勒索软件植入程序仍然是一大问题，这些软件被安插在高针对的攻击中，因此它们的分布容积也有显著减少。诸如此类，安装风险软件或点击可疑链接的风险仍在于人的因素，因此企业中的员工教育对于安全事故的最小化至关重要。根据Lookout报告，反钓鱼软件训练能够在未来12个月内减少50%对钓鱼链接的点击。