微軟在2018年的《安全情報報告》(Microsoft Security Intelligence Report)中指出,網絡釣魚依舊是***執行***的首選之一,從去年1月到11月間,內含網釣訊息的電子郵件比例增加了250%。微軟每月約掃描Office 365中逾4,700億封的電子郵件,去年1月時,郵件中含有網釣訊息的比例是0.25%,但到了去年11月便增加到0.55%。隨着用來保障網釣***的技術與工具愈來愈多,***的***手法也愈精密,不再使用單一的URL、網域或IP地址來傳送電子郵件,而開始利用各種代管基礎設施或是公有云展開***,以躲避偵測,例如透過熱門的文件共享或協作網站及服務來散佈惡意檔案或是僞造的登入接口。
![你被釣到了?微軟:去年網釣郵件比例來到250%]()
***在網釣***中經常採用的手法包括域名欺騙(在郵件中採用與原始網域同樣的域名)、假冒域名(使用以假亂真的域名)、冒充使用者(郵件看起來是來自信任的對象)、文字誘餌(內容似乎來自銀行、政府或其它合法機構,通常要求用戶提供用戶名稱或密碼等機密信息)、憑證網釣鏈接(連結到僞造的服務登入頁面)、在郵件中夾帶網釣文件,或是直接連結到僞造的雲端儲存服務以騙取使用者憑證。網釣***通常是***企圖***企業網絡的第一步,且當中最脆弱的環節就是使用者,微軟建議企業應該針對員工展開教育訓練,對各種網釣手法提高警覺。
