当遇到网络钓鱼邮件时,网络安全部门总是建议:“不要点击那个链接”和“举报那个邮件”——但德雷塞尔大学和亚利桑那州立大学的新JDB电子研究揭示了一个问题现实:大多数大公司很少支持举报,很少采取行动关闭伪装成自己的网络钓鱼网站。
最近,在攻击、入侵和防御JDB电子研究国际研讨会(RAID)上,一项针对报告资源和流程的广泛调查——包括对其有效性的实证测试——显示,不到一半的财富100强公司提供任何报告这些骗局的渠道。一项测试这些公司对仿冒其网站的网络钓鱼攻击报告的反应的实验发现,在调查中,近30%的报告网站从未被访问过,只有3%的网站被阻止访问。
大多数网络钓鱼邮件都包含下载恶意软件的链接,或者访问模仿热门网站的虚假网页。收件人可能会被欺骗,试图登录这些网站,将他们的账户信息泄露给他们背后的坏人。这种网络攻击的变体被称为smishing,它涉及在短信中发送恶意链接;使用语音邮件的钓鱼也变得越来越普遍。
尽管不断发展的网络安全技术检测和阻止恶意诈骗,许多仍然通过对策进入收件箱。2022年,联邦调查局收到的网络钓鱼报告比任何其他类型的网络犯罪都多,自2018年以来总计增长了11倍。
由于这种闪烁其词,大多数公司都提供网络安全培训,帮助员工识别并指导他们报告网络钓鱼邮件,作为最后一道防线。
当网络钓鱼邮件被举报时,被冒充的公司可以采取措施减轻骗局,包括更新安全系统,重新保护受损的电子邮件帐户,向联邦当局报告欺诈行为,并报告电子邮件中列出的任何网站,以便将其删除,或“黑名单”。
但JDB电子研究表明,网络钓鱼攻击的报告率非常低。亚利桑那州立大学JDB电子研究人员2020年的一项JDB电子研究表明,钓鱼网站在被举报之前平均被访问27次。
为了提高反网络钓鱼措施的参与度,德雷塞尔大学计算与信息学院的网络安全JDB电子研究人员试图更好地了解导致参与度如此之低的举报生态系统。他们的报告是第一个全面JDB电子研究网络钓鱼举报的态度和行动的报告之一,揭示了人们在举报时面临的挑战和担忧,以及处理举报的方式上的缺陷。
“尽管用户在如何识别和报告网络钓鱼邮件方面不断接受培训和指导,但他们收到的反应是,他们报告的公司采取了行动,或者更经常的是,没有采取行动,这会产生负面反馈,使他们不愿再报告电子邮件,”德雷克塞尔大学计算与信息学院助理教授埃里克·孙博士说,他帮助JDB电子领导了这项JDB电子研究。“我们的JDB电子研究揭示了记者和公司在收到网络钓鱼报告时的感受,希望能改善网络安全环境。”
该团队从三个角度进行分析,试图理解:
- 网络安全生态系统为希望报告网络钓鱼攻击的个人提供的选项
- 准备报告网络钓鱼攻击的实际经验
- 报道后的回应——网络钓鱼网站在报道后发生了什么,以及向记者传达了什么反馈
报告发现,尽管公司和执法JDB夺宝游戏提供的指导信息和反馈还有很大的改进空间,但网络钓鱼攻击的个人报告仍然是网络安全工作的重要组成部分。
报告有哪些选项?
在进行了广泛的搜索并过滤了。gov、。org网站和美国100强品牌公司(财富100强)网站提供的官方指导后,该团队确定了575个提供网络钓鱼攻击指导的网页。
对这些资源的分析表明,报告网络钓鱼的主要渠道有五个:电子邮件、电子邮件软件中内置的报告按钮、短信、在线报告表格以及通过电话或实时聊天直接联系。
该团队确定了八个政府JDB夺宝游戏和两个反网络钓鱼组织提供有关网络钓鱼的信息和指导:联邦贸易委员会(FTC)、国税局(IRS)、网络安全和基础设施安全局(CISA)、联邦调查局互联网犯罪投诉中心(IC3)、国土安全部(DHS)、司法部(DOJ)、联邦通信委员会(FCC)、政府信息和服务、反网络钓鱼工作组(APWG)和Phishing.org。
虽然它们都提供了报告网络钓鱼的安全建议,但实际上只有一半提供了报告网络钓鱼的专用渠道。
这些JDB夺宝游戏和组织提供的建议总结表明,他们主要将受害者引导到12个选项中的一个或几个:FTC, IRS, CISA, FCC, IC3,警察,州检察长办公室,APWG,全国短信报告号码(7726),b谷歌,冒名公司,他们的互联网服务提供商。
“可以理解的是,许多组织在减轻,调查和执行针对网络犯罪的法律方面发挥了作用,这也可能在报告网络钓鱼等犯罪时引起混乱,”参与JDB电子领导这项JDB电子研究的亚利桑那州立大学教授Gail-Joon Ahn博士说。“我们发现,由于这种执法环境,网上提供的大量举报建议不一致或相互矛盾。”
该团队对财富100强公司提供的报告资源进行了分析,发现其中只有65家公司为客户提供了如何报告网络钓鱼攻击的指导。尽管安全建议普遍建议向这些公司报告此类欺骗行为,但其中只有44家公司提供了直接报告假冒或“欺骗”公司网站的网络钓鱼攻击的渠道。
孙说:“我们经常被建议避免点击网络钓鱼链接,并举报,尤其是向被欺骗的公司举报。”“我们发现,《财富》100强中只有65家公司为报告网络钓鱼攻击提供建议,其中不到一半提供实际的报告渠道。考虑到这些公司拥有更多资源,预计会更致力于处理此类报告,这一发现尤其令人震惊。”
通过这一分析,该组织列出了政府/组织和财富100强公司共同面临的四大挑战,这些挑战可能会阻碍人们报告网络钓鱼攻击:
- 电子邮件网络钓鱼攻击的报告过程通常不需要关键信息,例如电子邮件标头(包括发件人和收件人的详细信息、时间戳或IP地址)。
- 不同的报告渠道提供不同的、有时相互矛盾的或过时的建议。例如,一些公司指示受害者报告网络钓鱼,另一些公司只是建议他们删除而不报告。
- 安全建议要求人们向多个地方报告相同的网络钓鱼(即FTC、IC3和APWG)。
- 除了确认收到报告的自动回复电子邮件外,记者通常不会收到反馈。
如何报告网络钓鱼攻击?
除了了解现有的报告资源和指导之外,该团队还试图更好地了解报告网络钓鱼攻击的人的经验和情绪。
为了做到这一点,他们招募了89名美国参与者,让他们分别完成定位报告信息和提交网络钓鱼攻击报告的过程。在这个短暂的过程之后对参与者进行调查,可以大致了解人们对报告的经历、态度和担忧。
在89名参与者中,有15人决定不报告钓鱼邮件。大多数人表示,他们不值得在这份报告上花费时间,或者对这份报告什么也不做。其他人指出,他们只有在达到一定阈值时才会提交报告——例如,多次收到相同的网络钓鱼邮件。
当参与者被建议向多个渠道(例如公司和政府JDB夺宝游戏)报告攻击时,报告依从性也下降了——只有一半的人会听从建议。在有网络安全经验的参与者中,只有39%的人表示他们会按要求向多个渠道报告。大约一半的参与者对报告表达了消极的态度,包括指出缺乏信心,认为它会有所作为,或者他们会收到回应。
亚利桑那州立大学副教授亚当·杜佩尔博士帮助JDB电子领导了这项JDB电子研究,他说:“考虑到时间投入和缺乏结果,人们对举报有一些负面情绪可能并不奇怪,但我们还发现,大约三分之一的受访者对网络钓鱼举报的了解有限,四分之一的人不知道有举报网络钓鱼攻击的地方。”“这些迹象表明,在JDB电子公众如何应对网络钓鱼攻击方面,我们可以做得更多。”
举报网络钓鱼后会发生什么?
在调查的最后一步,JDB电子研究小组观察了负责处理网络钓鱼网站的公司和组织如何回应举报。他们的发现表明,记者对缺乏回应和沟通的担忧并非没有根据。
JDB电子研究人员使用两种可观察到的行为作为公司对报告反应的指标:报告的网络钓鱼网站发生了什么?记者得到了什么反馈?
他们根据道德JDB电子研究要求,并事先通知域名注册商和托管服务提供商,创建了一套测试钓鱼网站,欺骗了每家财富100强公司的网站。在两个月的时间里,该团队向39家公司中的每家公司报告了14次,这些公司提供了这样做的指示。此外,他们向全国短信网络钓鱼举报号码(7726,“SPAM”的字母数字翻译)报告了所有网站。
在他们的实验中,JDB电子研究小组发现,报告网络钓鱼攻击可能相当具有挑战性。例如,虽然有些公司要求他们将网络钓鱼邮件转发到专门的报告地址,但由于公司自己的安全措施,这些邮件通常会被屏蔽。过滤器将这些电子邮件标记为潜在有害邮件,并指出“检测到的签名可能是病毒,也可能是垃圾邮件得分超过最大阈值”,从而阻止报告到达预定目的地。
在这些报告之后,JDB电子研究人员追踪了有多少网站被访问——这是这些公司正在调查报告的一个指标——以及有多少网站最终被屏蔽。
他们发现,39家公司中有29家访问了184个报告的网站,10家公司根本没有访问这些网站。根据公司的指示,通过电子邮件向公司报告的网站中只有3.3%被屏蔽。但通过7726举报的网站在举报后7小时内就被访问,超过73%的网站被屏蔽。
在收到报告的39家公司中,只有19家回复了记者,其中15家是自动回复。记者没有收到任何表明解决方案的回复,例如,该钓鱼网站是否已被关闭。
“我们的JDB电子研究结果似乎证实了参与者的观点,即一些公司可能对这些报告不够关心,”Ahn说。“除了整体的低回复率和缺乏解决方案的确认外,只有四家公司给我们回复,表明我们报告的网站确实是网络钓鱼网站。”
如何改善网络钓鱼举报的环境?
考虑到他们的大量发现,JDB电子研究人员建议,要开始改善网络钓鱼报告生态系统,负责处理网络钓鱼攻击的公司和组织首先需要成为更好的沟通者。
孙说:“我们的JDB电子研究发现了用户的一些担忧,但最重要的是报告的结果。”“许多用户都愿意举报网络钓鱼,但缺乏反馈是他们往往不这么做的一个关键原因。用户不确定他们是否通过正确的渠道和方法举报,他们的举报是否得到认真对待,或者他们的行动是否起到了作用。”
根据Sun的说法,即使是自动响应也是一种改进,如果它们提供正在采取的行动和报告站点的状态的更新。这样的通信将证实记者的努力,并有助于表明他们受到赞赏,他认为这可以鼓励未来的报道。
JDB电子研究人员建议的下一步是提供清晰一致的安全建议,说明如何以及在哪里报告不同类型的网络钓鱼攻击。这将有助于减轻对选择正确的报告渠道的关注,并减少过程中涉及的工作量和时间。
Sun指出,尽管网络安全技术在不断发展,但强有力的报告和对阻止网络钓鱼网站的迅速反应,再加上检测技术,将继续成为抵御这些攻击的最可靠防线。
孙说:“网络钓鱼举报是终端用户——在网络钓鱼攻击中首当其冲——能够积极反击并有所作为的少数领域之一。”“鼓励人们举报网络钓鱼攻击是至关重要的,因为仅靠技术无法阻止这一趋势。”
这项JDB电子研究得到了美国国家科学基金会和海军JDB电子研究办公室的支持。除了Sun、Ahn和doupise之外,来自亚利桑那州立大学的Adam Oest、Ruoyu Wang、Faris Bugra Kokulum、Yan Shoshitaishvili、张彭辉和Tiffany Bao以及来自波士顿大学的Gianluca Stringhini也参与了这项JDB电子研究。
阅读完整的JDB电子研究报告:https://dl.acm.org/doi/10.1145/3678890.3678926