研究：网站假冒诈骗激增，解决方案却不足_网络安全

网站假冒诈骗已成为一个日益严重的问题，尽管许多企业对其解决这些问题的工具并不满意。

数字风险保护解决方案公司Memcyco周二发布的一项研究发现，近四分之三的企业已经部署了数字冒充保护解决方案来避免网络诈骗，但其中只有 6% 的企业对它能保护他们和他们的客户感到满意。“这真是令人震惊，”Memcyco 首席营销官 Eran Tsur 告诉 TechNewsWorld。

根据该研究，超过三分之二的企业 (68%) 知道他们的网站被冒充，近一半 (44%) 知道这会直接影响他们的客户。该研究基于对美国和英国安全、欺诈、数字和网络行业 200 名全职总监至 C 级员工的调查。

全球安全、合规和调查公司Guidepost Solutions的董事总经理 Matthew Corwin 表示：“如果客户被欺骗提供登录凭据或敏感个人信息，欺骗性网站可能会给客户带来重大财务损失。”

他告诉 TechNewsWorld：“如果客户成为假冒网站诈骗的受害者，从而削弱对公司的信任，品牌声誉可能会受到严重损害。”

网站冒充诈骗所造成的损害不仅仅是公司的声誉。全球移动应用安全公司Approov Mobile Security的首席执行官特德·米拉科 (Ted Miracco) 告诉 TechNewsWorld：“欺诈还可能造成直接的经济损失，以及与补救、法律费用以及可能的一些客户赔偿相关的间接成本。”

研究还发现，三分之二 (66%) 的受访公司最常通过受影响客户的事件报告来了解网站冒充攻击。“这令人难以置信，”Tsur 说。“部署的解决方案不仅没有防范或阻止这些攻击，而且这些组织也不知道这些攻击是否已经发生。”

Guidepost Solutions 的 Corwin 指出，主要依靠客户报告来检测假冒诈骗的企业可能会错过重要的早期预警和主动防御新兴威胁的机会。 “被动的方法会给客户带来负担，这可能会损害客户关系和信任，”他说。

Approov 的 Miracco 补充道：“从客户那里了解诈骗情况意味着攻击已经影响了个人，甚至在缓解措施开始之前就造成了伤害。” “定期扫描是唯一可能删除模仿品牌的虚假网站的替代方案，但这具有挑战性，因为你必须在事件发生之前对其进行预测。”

“根据客户报告进行工作是一种被动的方法，而不是主动的方法，”他说。我不确定是否存在足够的防御措施，因此用户在回复看似合法的电子邮件之前需要接受教育并更加小心。”

该研究的一个更令人担忧的发现是，超过 37% 的企业表示，当受网络钓鱼相关诈骗影响的客户在社交媒体上公开他们的经历时，他们首先意识到虚假网站，这种做法被称为“品牌羞辱”。

该研究质疑，随着现成的人工智能和网络钓鱼工具包越来越多，企业可以继续依赖客户作为威胁情报的主要来源多久。

“有了这些套件，一切都是完全自动化的，”Memcyco 的 Tsur 观察到。 “你可以启动它然后忘记它。”

Corwin 解释说，人工智能驱动的工具和预打包的网络钓鱼工具包的可访问性意味着即使技术水平较低的个人也可以执行令人信服的假冒攻击。他说：“人工智能增强的网络钓鱼工具可以更准确地模仿合法网站，甚至欺骗最警惕的用户并扩大威胁范围。”

他继续说道：“网络犯罪分子通常还会利用与公司或品牌的合法地址几乎相同但包含细微变化或错误的域名，这被称为‘组合抢注’或‘拼写错误抢注’。”

“人工智能非常危险，”米拉科补充道。 “这些工具非常易于使用，即使对于没有技术技能的个人来说也是如此，几乎任何人都可以创建复杂的网络钓鱼活动。这是我们最糟糕的网络安全噩梦的实现——由那些大肆宣扬人工智能将多么美好的公司亲手交付。可悲的是，大多数技术的早期采用者都是不良行为者。”

加利福尼亚州普莱森顿的网络安全公司SlashNext的首席执行官帕特里克·哈尔 (Patrick Harr)指出，自网络诞生以来，网站冒充行为就一直存在。

“几乎所有用户都很容易发现这些，”他说。 “最近发生的变化有两件事：网络钓鱼者正在抢注合法域名，网络钓鱼者正在使用网络钓鱼工具包和人工智能来生成近乎完美的网站页面。”

“如果没有人工智能计算机视觉对策，这些就很难辨别，并且将使威胁行为者更加成功，而不是更少，”他坚称。

佛罗里达州克利尔沃特市安全意识培训提供商KnowBe4的防御宣传员 Roger Grimes建议每家发送电子邮件的公司都实施 DMARC、SPF 和 DKIM，这是全球反网络钓鱼标准。他告诉 TechNewsWorld：“他们试图击败声称来自合法发送域的恶意电子邮件和链接。”

“例如，”他解释说，“如果我收到一封声称来自 Microsoft 的电子邮件，接收者的电子邮件服务器/客户端可以使用 DMARC、SPF 和 DKIM 来查看该电子邮件是否确实来自 Microsoft。”

Miracco 建议公司网站确保所有网络流量均使用 SSL/TLS 证书加密，以使攻击者更难拦截和欺骗通信。

他补充说，移动应用程序应实施证明机制来验证其完整性，并确保与后端 API 的交互仅源自合法的、未更改的应用程序实例。他们还应该聘请威胁情报服务来监控网络钓鱼工具包、虚假域名和其他冒充行为。

科文指出，为了应对拼写错误等策略，公司可以注册现有域名的明显变体或可能的拼写错误，包括连字符的名称、其他流行的域名扩展以及稍微乱序的字符。

“有一些品牌监控服务可以监控网络钓鱼网站和包含公司知识产权的新域名，有些甚至可以帮助提供自动域名删除服务，”他说。 “这些可能会对一些公司有所帮助，但不幸的是，由于域名存在许多潜在的变体，而且当前的工具使创建这些网络钓鱼网站变得如此容易，因此风险可能会持续存在。”

Miracco 补充说，公司不仅应该关注技术防御，还应该在员工和客户中培养安全意识文化。

“网站假冒诈骗是一种快速发展的威胁，需要采取多方面的方法，”他说。人工智能已经解决了这个问题，希望在不久的将来，我们将部署支持人工智能的解决方案，以防止用户在虚假网站上犯下代价高昂的错误。”

本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿，仅代表个人观点，不作为任何依据，转载联系作者并注明出处：https://www.lvsky.net/48.html

研究：网站假冒诈骗激增，解决方案却不足