报告空白:研究证实了受害者对网络钓鱼报告响应的怀疑
网络安全人员在遇到网络钓鱼电子邮件时总会建议:“不要点击该链接”和“举报该电子邮件”——但德雷塞尔大学和亚利桑那州立大学的最新研究揭示了一个令人担忧的现实:大多数大公司很少支持举报,而且很少有公司在被举报后采取行动关闭伪装成自己的网络钓鱼网站。最近在国际攻击、入侵和防御研究研讨会(RAID) 上发表的一项关于报告资源和流程的广泛调查(包括对其有效性的实证测试)显示,不到一半的财富 100 强公司提供了任何举报这些骗局的渠道。一项旨在测试公司对冒充其网站的网络钓鱼攻击报告的反应的实验发现,近 30% 的报告网站从未作为调查的一部分被访问过,只有 3% 的网站被阻止访问。
大多数网络钓鱼电子邮件都包含下载恶意软件或访问模仿热门网站的虚假网页的链接。收件人可能会被诱骗尝试登录这些网站,从而向背后的不法分子泄露其账户信息。这种网络攻击的变体称为短信网络钓鱼,即在短信中发送恶意链接;而语音网络钓鱼则使用语音邮件,这两种攻击也变得越来越普遍。
尽管网络安全技术不断发展,可以检测和阻止恶意诈骗,但许多诈骗仍然能通过反制措施进入收件箱。2022 年,联邦调查局收到的网络钓鱼报告比任何其他类型的网络犯罪都多——自 2018 年以来增长了 11 倍。
由于这种逃避性,大多数公司都提供网络安全培训,帮助员工识别网络钓鱼电子邮件并指导他们举报,作为最后一道防线。
当网络钓鱼电子邮件被举报时,被冒充的公司可以采取措施减轻诈骗的影响,包括更新其安全系统,重新保护受感染的电子邮件帐户并向联邦当局报告欺诈行为,并报告电子邮件中列出的任何网站,以便可以将其删除或“列入阻止名单”。
但研究表明,网络钓鱼攻击的报告率惊人地低。亚利桑那州立大学研究人员在2020 年进行的一项研究表明,网络钓鱼网站平均被访问 27 次才会被报告。
为了提高反钓鱼措施的参与度,德雷塞尔大学计算机与信息学院的网络安全研究人员试图更好地了解导致参与率如此低的报告生态系统。他们的报告是首批研究钓鱼举报态度和行动的综合研究之一,揭示了人们在举报时面临的挑战和担忧,以及举报处理方式的缺陷。
“尽管用户不断接受培训和指导如何识别和举报网络钓鱼电子邮件,但他们所举报的公司采取的行动(或者更常见的是没有采取行动)给他们留下了负面反馈,使他们不愿意举报未来的电子邮件,”德雷塞尔大学计算机与信息学院助理教授、领导这项研究的 Eric Sun 博士说。
“我们的研究揭示了作为一名记者和一家收到网络钓鱼报告的公司是怎样的感受,希望能改善这种网络安全环境。”
该团队从三个角度进行分析,试图了解:
网络安全生态系统为希望举报网络钓鱼攻击的个人提供的选项
准备报告网络钓鱼攻击的实际经验
举报后的响应——举报后钓鱼网站会发生什么情况以及向举报人传达什么反馈
研究发现,尽管公司和执法机构提供的指导信息和反馈还有很大的改进空间,但个人举报网络钓鱼攻击仍然是网络安全工作的重要组成部分。
报告有哪些选项?
经过广泛搜索并筛选出.gov、.org 网站以及美国前 100 大品牌公司(财富 100 强)网站提供的官方指导后,该团队确定了 575 个提供有关网络钓鱼攻击指导的网页。
对这些资源的分析表明,报告网络钓鱼主要有五个渠道:电子邮件、电子邮件软件中的内置报告按钮、短信、在线报告表格以及通过电话或实时聊天直接联系。
该团队确定了八个政府机构和两个反网络钓鱼组织,提供有关网络钓鱼的信息和指导:联邦贸易委员会(FTC)、美国国税局(IRS)、网络安全和基础设施安全局(CISA)、联邦调查局互联网犯罪投诉中心(IC3)、国土安全部(DHS)、司法部(DOJ)、联邦通信委员会(FCC)、政府信息和服务部、反网络钓鱼工作组(APWG)和Phishing.org。
虽然所有机构都提供了举报网络钓鱼的安全建议,但只有一半实际上提供了专门的网络钓鱼举报渠道。
这些机构和组织提供的建议摘要表明,他们主要将受害者引导至以下 12 个选项中的一个或多个:FTC、IRS、CISA、FCC、IC3、警察、州检察长办公室、APWG、国家短信报告号码 (7726)、谷歌、被冒充的公司及其互联网服务提供商。
“可以理解的是,许多组织在减轻、调查和执行针对网络犯罪的法律方面发挥着作用,这也会在举报网络钓鱼等犯罪时引起混乱,”亚利桑那州立大学教授、这项研究的负责人 Gail-Joon Ahn 博士说。“我们发现,由于这种执法环境,网上提供的大量举报建议不一致或相互矛盾。”
该团队对《财富》100 强企业提供的报告资源进行了分析,结果显示只有 65 家企业向客户提供了如何报告网络钓鱼攻击的指导。尽管安全建议普遍建议向这些公司报告此类欺骗行为,但只有 44 家企业提供了直接报告冒充或“欺骗”公司网站的网络钓鱼攻击的渠道。
“我们经常被建议不要点击钓鱼链接,并要举报,尤其是向被欺骗的公司举报,”孙说。“我们发现,财富 100 强公司中只有 65 家提供举报钓鱼攻击的建议,而且不到一半的公司提供实际举报渠道。鉴于这些公司拥有更多资源,预计会更致力于处理此类举报,这一发现尤其令人震惊。”
通过分析,该小组梳理出政府/组织和财富 100 强公司面临的四个共同挑战,这些挑战可能会阻止人们举报网络钓鱼攻击:
电子邮件网络钓鱼攻击的报告程序通常不需要关键信息,例如电子邮件标题(包括发件人和收件人详细信息、时间戳或 IP 地址)。
不同的举报渠道提供的建议各不相同,有时甚至相互矛盾或过时。例如,有些公司会指导受害者举报网络钓鱼行为,而有些公司则建议受害者删除钓鱼信息,而不进行举报。
安全建议要求人们向太多地方(即 FTC、IC3 和 APWG)报告相同的网络钓鱼。
除了确认收到报告的自动回复电子邮件外,记者通常不会收到任何其他反馈。
举报网络钓鱼攻击是什么样的?
除了了解现有的报告资源和指导之外,该团队还试图更好地了解报告网络钓鱼攻击的人的经历和情绪。
为此,他们招募了 89 名美国参与者,让他们分别完成查找举报信息和提交网络钓鱼攻击报告的过程。在这一简短过程之后对参与者进行的调查提供了人们对举报的经验、态度和担忧的快照。
在 89 名参与者中,有 15 人决定不报告钓鱼邮件。大多数人认为这不值得他们花时间,或者报告后不会有任何效果。其他人指出,只有达到一定阈值(例如多次收到同一封钓鱼邮件)时,他们才会提交报告。
当建议参与者向多个渠道(例如公司和政府机构)报告攻击时,报告合规性也会下降——只有一半的人会听从建议。在具有网络安全经验的参与者中,只有 39% 的人表示他们会按照要求向多个渠道报告。约有一半的参与者对报告持消极态度,包括表示对报告是否会有所作为或是否会收到回复缺乏信心。
“考虑到报告的时间投入和缺乏成果,人们对报告持有负面看法可能并不令人意外,但我们还发现,约三分之一的受访者对网络钓鱼报告知之甚少,四分之一的人不知道有地方可以报告网络钓鱼攻击,”亚利桑那州立大学副教授、这项研究的负责人亚当·杜佩博士说。“这些迹象表明,可以采取更多措施教育公众如何应对网络钓鱼攻击。”
举报网络钓鱼后会发生什么?
在调查的最后一步,该团队研究了负责处理钓鱼网站的公司和组织如何回应举报。他们的发现表明,记者对缺乏回应和沟通的担忧并非毫无根据。
研究人员用两个可观察的行为作为企业对举报的响应程度的指标:被举报的钓鱼网站发生了什么?举报者收到了什么反馈?
他们根据道德研究要求,在事先通知域名注册商和托管服务提供商的情况下,创建了一组测试钓鱼网站,以欺骗每家财富 100 强公司的网站。在两个月的时间里,该团队向 39 家提供操作说明的公司分别报告了 14 次。此外,他们还向全国短信钓鱼举报号码(7726,即“SPAM”的字母数字翻译)报告了所有网站。
在实验过程中,该团队发现举报网络钓鱼攻击非常困难。例如,虽然一些公司要求他们将网络钓鱼电子邮件转发到专用举报地址,但由于公司自身的安全措施,这些电子邮件经常被屏蔽。过滤器将这些电子邮件标记为潜在有害,并指出“检测到的签名可能是病毒或垃圾邮件分数超过最高阈值”,从而阻止报告到达预期目的地。
在报道发布之后,研究人员追踪了有多少网站被访问过——这表明这些公司正在调查该报道——以及有多少网站最终被封锁。
他们发现,39 家公司中有 29 家访问了 184 个被举报的网站,10 家公司根本没有访问这些网站。通过电子邮件向公司举报的网站中,只有 3.3% 按照他们的指示被屏蔽。但通过 7726 举报的网站在举报后七小时内被访问,超过 73% 的网站被屏蔽。
在收到举报的 39 家公司中,只有 19 家回复了举报人,其中 15 家是自动回复。举报人没有收到任何解决方案的回复,例如钓鱼网站是否已被关闭。
“我们的调查结果似乎证实了参与者的观点,即一些公司可能不太关心这些报告,”Ahn 说。“除了总体回复率低和缺乏解决方案确认之外,只有四家公司向我们发送了回复,表明我们报告的网站确实是钓鱼网站。”
如何改善网络钓鱼报告的氛围?
考虑到大量的研究结果,研究人员建议,要开始改善网络钓鱼报告生态系统,负责应对网络钓鱼攻击的公司和组织首先需要成为更好的沟通者。
“我们的研究发现了用户的诸多担忧,但最重要的是举报结果,”孙说。“许多用户愿意举报网络钓鱼行为,但缺乏反馈是他们往往不举报的主要原因。用户不确定他们是否通过正确的渠道和方法举报,他们的举报是否得到认真对待,或者他们的行动是否产生了影响。”
孙教授认为,如果能提供正在采取的行动和被举报网站的最新情况,即使是自动回复也是一种进步。这样的通信将证实记者的努力,并有助于表明他们受到赞赏,他认为这可以鼓励未来的报道。
研究人员建议的下一步是提供清晰一致的安全建议,说明如何以及在何处报告不同类型的网络钓鱼攻击。这将有助于缓解选择正确报告渠道的担忧,并减少此过程中所需的精力和时间。
孙先生指出,尽管网络安全技术不断发展,但强有力的报告、迅速的封锁钓鱼网站的反应,加上检测技术,仍将是抵御这些攻击最可靠的防线。
Sun 表示:“网络钓鱼举报是最终用户(遭受网络钓鱼攻击的首当其冲者)可以积极反击并发挥作用的少数几个领域之一。鼓励人们举报网络钓鱼攻击至关重要,因为单靠技术无法阻止这种趋势。”
页:
[1]