日前，Egress 公司公布，2023 年二維碼網絡釣魚（QR）攻擊數量急劇增加。2021 年和 2022 年，網絡釣魚電子郵件中的二維碼有效載荷相對較少，分別占攻擊總數的 0.8% 和 1.4%。2023 年，這一比例躍升至 12.4%。

據悉，威脅攻擊者使用社會工程學發起的攻擊案例同樣有所增加，目前已經占到網絡釣魚攻擊的 19%，這種情況發生的原因可能是生成式人工智能技術的大量使用。

另一方面，自 2021 年以來，附件型有效載荷的使用有所減少，三年前，在 Egress 檢測到的攻擊中，附件型有效載荷占 72.7%，到了 2024 年第一季度，隨著威脅攻擊者不斷改進有效載荷，這一比例已降至 35.7%。

從研究人員發布的信息來看，深度僞造已經成爲了當下“頭條新聞”，與 2023 年最後一個季度相比，2024 年第一季度使用 Zoom 和移動電話作爲多渠道攻擊鏈路的情況有所增加；Zoom 增加了 33.3%，移動電話增加了 31.3%。

研究人員預測，未來 12 個月及以後，網絡攻擊中使用視頻和音頻深度僞造的情況將會繼續大幅度增加。

生成式人工智能技術的出現大大提高了攻擊成功率，威脅攻擊者可以利用該技術輕松創建惡意軟件、網絡釣魚網站和電彙欺詐攻擊發票等有效載荷，最大程度上簡化了網絡威脅攻擊者的作案流程，並以更快的速度提供了更高效的攻擊策略。

此外，研究人員還發現，2024 年前三個月，通過 SEG 檢測的攻擊數量增加了 52.2%。其中 68.4% 的攻擊通過了驗證檢查，甚至包括 SEG 使用的主要檢測能力 DMARC。

與集成雲電子郵件安全 （ICES） 解決方案不同，SEG 對合法的但已經遭到入侵的第三方帳戶效果相對較差，而大多數攻擊卻都是從這些帳戶發送出來。（SEG 位于網絡邊緣，利用定義庫並使用基于簽名和基于信譽的檢測掃描已知威脅。）

混淆技術經常繞過 SEG，例如劫持合法超鏈接和屏蔽基于圖像的附件（如 JPEG）中指向網絡釣魚網站的超鏈接，這兩種技術占繞過 SEG 的混淆方法的 45.5%。

報告顯示，千禧一代是網絡釣魚攻擊的首要目標，收到了 37.5% 的網絡釣魚電子郵件。最受網絡釣魚攻擊“喜愛”的行業是金融、法律和醫療保健，其中會計和財務團隊的員工收到的網絡釣魚電子郵件最多，其次是營銷和人力資源。

值得注意的是，有 13.4% 的網絡釣魚攻擊是冒充了受害者認識的人，例如首席執行官和高級領導，其中首席執行官是威脅攻擊者最喜歡冒充的“工作角色”。

Egress 威脅情報高級副總裁 Jack Chapman 表示，在 2024 年，網絡犯罪分子會繼續在網絡釣魚攻擊上投入更多的資源，從而獲得最高資金回報。不僅如此，威脅攻擊者還會根據營收情況不斷調整釣魚策略，以獲取更多的金錢。同時，人工智能技術也會更多的參與到網絡釣魚攻擊中。

文章來源：

https://www.helpnetsecurity.com/2024/04/24/2024-phishing-attacks-trends/