啊,在线测验。我们中的许多人都知道它们可能有些狡猾和废话,但是,但这并不会阻止我们单击“开始测验”按钮。此外,你有时间杀人,只有三个问题来回答,对吗?

正确的错误

网络钓鱼攻击并不总是从电子邮件收件箱中开始。无论您是桌面,笔记本电脑,平板电脑还是手机,有几个其他向量用户可以遇到网络钓鱼尝试。并相信我,他们没有一个闪烁的霓虹灯,可以轻松地提醒用户他们在个人信息之后。

phishers是迄今为止最具弹性的网络犯罪分子之一。Akamai Technologies的主要领先安全研究员和Katz又一次地证明这一点。

在最近发表的白皮书中有权“网络钓鱼 - 游戏,社交和奖品的新时代”[PDF],KATZ已确认我们中许多人已经长期怀疑:在Facebook,Twitter和其他社交媒体平台上共享的那些短暂的测验是骗局。在他们身后是复杂的和协调的努力,这些努力是为了长时间的用户接触欺诈运动而设计。

KATZ和他的团队研究了689个定制的网络钓鱼活动,这些活动在跨行业的78个品牌名称银行。这些品牌包括联合航空,目标,迪斯尼乐园和Dunkin'甜甜圈。所有基于测验的网络钓鱼页面都遵循模板格式:他们问三个问题,一旦用户回答他们 - 请注意,他们不必正确 - 他们承诺Quiz接受者与他们冒充的品牌相关的奖项。例如,如果测验是关于迪斯尼乐园,Quizaker可能会“赢得”免费通过。

Quiz接受者然后针对网页,要求个人信息 - 所以他们可以声称奖品,当然是他们的电子邮件地址,物理地址和年龄。

这些“积极”网络钓鱼活动背后的工具包

网络钓鱼试剂盒是一个严重的Phisher欺诈阿森纳的主食。这些漂亮和可重复使用的工具在地下市场中很受欢迎,因为他们做了大部分工作,骗局的努力很少。它还使网络钓鱼活动更快地创造。

根据这个伴随的博客帖子对于Akamai纸,他们研究的测验驱动的Phish套件使用以下社会工程策略来获得用户信任:

  • 定制的“品牌”网站,其中他们显示了他们用来引诱目标的可信公司的徽标和品牌,并让他们舒适地回答测验问题。
  • 呼吁采取行动,其中他们创造了一种紧迫感,因此目标可能会填写测验或在不思考的情况下发出信息。其中一个例子据称,高价值的奖品只能通过有限数量的测验者赢得,因此他们需要继续前进。
  • 社交媒体中的多个虚假认可,其中假社交网络型材用于加强假定品牌报价的合法性。通过展示几个人已经赢得并声称奖品的目标,目标会怀疑较少。目标也需要在社交媒体频道中共享到测验的链接 - 一个经典调查骗局。

使用相同的PHISH套件屏幕捕获样本站点的三个问题测验诈骗(由Akamai Technologies提供)

其他网络钓鱼活动调查结果

  • 这些品牌在他们的运动中受到不同的手机滥用的品牌是属于航空公司,零售和食品和饮料行业的公司。
  • 这些网络钓鱼活动中使用的82%的实际域已杠杆typosquatting.
  • 较新版本的网络钓鱼试剂盒包括额外的功能,例如自动翻译 - 这使得非英语扬声器和新的假社交网络配置文件可访问诈骗 - 这使得诈骗更可靠和动态。
  • 与传统网络钓鱼相比,使用社交网络的网络钓鱼活动更有效。

一个新的网络钓鱼活动要注意

Akamai概述了这种性质的网络钓鱼运动 - 或者在传统的网络钓鱼的积极方面发挥的那些,因为在传统的网络钓鱼中,只会增加未来。手机现在已经学会了利用游戏力学,并进一步利用了人们的好奇心和对免费赠品的渴望。在此过程中,Phishers使互联网用户接受他们,没有用户实现它。

建议用户在网上提供免费提供的情况下更加警惕,并且无论它们介绍的形式如何,直到他们核实提供了合法性。虽然浪费时间在测验时可能很有趣,但联系人会在Facebook上共享,这将是一个通行证是明智的,也许通过PM警告这个穷人,他可能被欺骗了放弃了他的个人信息诈骗者。