2017网络钓鱼趋势和情报报告

一、介绍

欢迎阅读2017网络钓鱼趋势和情报报告。本报告的目的不仅在于提供洞察威胁主体开展网络钓鱼攻击的重大趋势、工具、和使用的技术，同时也提供背景和观点来说明这些变化为什么会发生。

今天的网络钓鱼威胁景观和2016年刚开始的相比有惊人的不同，有两个变革的事件导致了预期的钓鱼威胁景观和情形发生了根本性的巨变。

第一个变革事件是根本性的，就是钓鱼攻击者的攻击目标发生了变化，这主要有两个因素，一是攻击者的动机在不断变化，二是因为目标身份认证方式从唯一用户名演化成广泛接受的邮件地址(以前，网站或系统身份认证时通常采用“用户名+密码”的方式，现在很多网站或系统已经采用了“邮箱+密码”的方式，这种变化带来了很大问题)。

2016年第二个变革事件是勒索软件的快速增加，并很快变成了公共瘟疫。大范围的网络钓鱼将继续是传播勒索最有效的方法。

这份报告提供了这些事件的第一手和深入的观点，以及其他直接来源于PhishLabs的关于对抗钓鱼攻击和钓鱼攻击背后威胁主体的观点。本报告中强调的趋势将有助于企业更好地评估现代钓鱼攻击的风险，并且我们希望这个详细的调查结果能更好的用于减缓那些风险。

PhishLabs R.A.I.D(研究、分析、和情报部门)由一些世界上最受尊敬的威胁研究人员组成，并撰写了这篇报告。PhishLabs有专门用于对抗钓鱼攻击的业务和技术系统，这篇报告中包含的信息和观点就是以此为基础的。

下面是我们报告的基础数据：

1.我们在2016年分析了近一百万个恶意钓鱼网站。

2.这些网站使用了超过170000个唯一域名(比2015年多23%)。

3.我们每个月调查并减少了超过7800次钓鱼攻击，确定了这些攻击中使用的基础架构，并关闭它们。

4.我们分析了来源于100多个勒索软件的变种和20多个银行木马的数千个独特的恶意软件样本。

5.领先的金融机构、社交媒体网站、医疗保健公司、零售商、保险公司和技术公司都使用了我们的服务，用于对抗网络钓鱼威胁。

6.从2008年，我们就一直在对抗网络钓鱼攻击。

二、概述

网络钓鱼是网络攻击的最大威胁向量。威胁主体以组织和个人的资产为目标时。网络攻击最有吸引力和最成功的方法仍然是利用人类的弱点。

2017网络钓鱼趋势和情报报告在网络钓鱼攻击和洞察这些攻击使用的技术方面，提供了趋势上的分析。它试图澄清谁在被攻击，并给出他们为什么被攻击的理由。阅读此报告的人将更好地了解网络钓鱼威胁，并更好的具备保护自己的能力。

2017网络钓鱼趋势和情报报告的重要结论是：

1.云存储网站可能会超越金融机构成为被钓鱼攻击最多的目标，这标志着钓鱼者在目标选择过程上发生了变化。

2.身份认证方法从唯一用户名变成了广泛接受的邮件地址，这个变化被严重利用，攻击者收获了大量凭据后，瞄准大量在线服务，通过凭据重用和其他方法进行二次攻击。

3.我们识别出了拥有170000个唯一域名的钓鱼网络，比上年增加了23%。

4.在五个最有针对性的行业中，网络钓鱼数量平均增长超过33%。

5.自2014年以来，针对政府税务机关的攻击增长超过300%。

6.2016年1月针对IRS的钓鱼攻击出现巨大增长(IRS网络钓鱼是骗子们冒充国税局给你发一封电子邮件，声称你逾期退税或你有税务问题，要求你点击邮件中的连接以便到IRS的网站上去澄清问题)，比2015年全年的都多。

7.与前几年有所差别，由于全球主要事件的影响，如英国退欧，网络钓鱼数量在年中达到高峰。

8.全球钓鱼攻击瞄准美国实体的份额增长至超过81%。

9.对加拿大机构的攻击增长了237%，幅度超过其他任何国家。

10.59%的钓鱼网站托管在美国，托管在东欧的钓鱼网站数量有显着增加。

11.在2016年，超过一半的钓鱼网站使用了“.com”顶级域名，新的通用顶级域名正在成为网络钓鱼更受欢迎的选择，因为它们便宜，并且可以被用于创建令人相信的钓鱼网站域名。

12.收集了超过29000个钓鱼工具，超过三分之一使用了逃避检测的技术。

13.勒索软件是网络钓鱼传播的主要类型的恶意软件，正聚焦在那些更可能支付赎金的组织，如医疗保健、政府、关键基础设施、教育和小型企业。

三、钓鱼攻击景观的变化

虽然它总是变化，2016年，我们观察到钓鱼威胁景观的基本动态发生了显着的改变。这些变化正在深刻地改变钓鱼威胁景观，这将影响组织很多年。本节回顾了这些观察到的变化，并详细对它们进行研究探讨。

1.研究方法

在2016年，PhishLabs分析了近一百万个确定的恶意钓鱼网站，它们托管在超过170000个独立域名上，使用了超过66000个独立IP，本节详细的调查结果就是以些为基础得到的。在本报告的语境中，我们定义钓鱼“攻击”是指一个域名托管了网络钓鱼环境，网络钓鱼的“份额”是指某类攻击在整个攻击总量中所占的百分比，而“量”是指原始的、累积的攻击次数。在后面的文章中，请大家注意，有些行业遭受网络钓鱼攻击的量在增长，但是在所有行业遭受网络钓鱼攻击中所占的份额有可能在降低，这一点大家应该能理解。

2.如何进行网络钓鱼

通常，钓鱼者首先要攻下一个有漏洞的网站，或注册一个恶意的域名，然后钓鱼者将钓鱼环境托管在这些主机中，他们上传了一些压缩文件，包含所有创建一个钓鱼网站所需的东西，也被称为“网络钓鱼工具包”。通过分析这些工具包，我们能更好地了解到网络钓鱼者的策略和技巧，因为这些工具包含了发展一个成功网络钓鱼所用到的“配方”。对这些工具包进行逆向工程，可以帮助我们了解到它们的设计方案，从而，我们可以更好的识别出个别钓鱼网站。

除了包含一个钓鱼网站的基本单元外，这些工具包也包含用于给钓鱼者发送信息的脚本，这些信息是钓鱼攻击活动收集到的信息，这些信息通常会被发送到钓鱼者设置的临时邮件账户中，我们也看到，有时候这些信息也会被发送到诈骗者控制的另一个域名下，或甚至通过类似于XMPP的即时通讯协议发送。

3.谁是被攻击的目标

2016年，在五个最有针对性的行业中，网络钓鱼数量平均增长超过33%。到2017年年底，云存储网站有可能会取代金融机构的位置，成功被钓鱼攻击最多的目标，这个历史趋势的巨大转变，暗示着钓鱼者从他们的攻击获得了更多的利润。除了从金融账户寻找直接利润，钓鱼者采用了更多间接的赚钱方法。以前很多网站在登录认证时使用的是用户名和密码的方式，而目前很多网站已经使用了邮件地址和密码的方式。钓鱼者利用了这个现在被广泛使用的身份认证做法，通过向使用了此认证机制的流行在线服务发动钓鱼攻击，钓鱼者大规模收获了电子邮件地址/口令凭据对，攻击者可以使用它们攻击次要目标(通常通过口令重用攻击，也就是撞库攻击)。

在2016年，我们确定了568个母机构(私有公司、政府机构、学校等等)的976个品牌,它们成为了以消费者为中心的钓鱼攻击的目标。这是从2015年开始增长的，那时钓鱼攻击针对了559个母机构的895个品牌。到了2016年，有166个实体在以前不是钓鱼攻击的目标，相反的是，155个机构在2015是攻击的目标，但是到了2016年，不再是被攻击的目标了。

2016年，超过91%的钓鱼攻击以五个行业为主要目标：金融机构、云存储/托管服务器、基于万维网的电子邮件服务/在线服务、支付服务、和电子商务企业。在这五个行业中，2016年网络钓鱼数量平均增长超过33%。

金融机构是钓鱼者由来已久的选择，在2016年它仍然是最受欢迎的攻击目标，虽然在2016年，该行业的钓鱼攻击总数有轻微增长，但针对该行业的网络钓鱼攻击份额在近年来大幅下降。在2013年，针对金融机构的攻击占所有钓鱼攻击的三分之一以上，这个数字现在已经下降到仅占全球网络钓鱼总量的四分之一。

可以看到针对金融机构的攻击份额下降了，而针对其他行业的攻击份额在大幅增加。这种趋势在云存储服务行业最为明显。在2013年，针对云存储行业的攻击少于10%，但是到了2016年。该行业的份额和金融机构的份额相比只少了一点点(22.6%比23%)。如果这种趋势还将继续，那么在2017年我们会看到云存储行业的份额可能会高于金融行业，成为被攻击最多的行业。值得注意的是，网络钓鱼攻击对云存储服务行业的影响几乎只针对两家公司：Google(Google Drive/Docs)和Dropbox。

下图显示的是份额在下降的两个行业：

另一个在网络钓鱼攻击量上存在特殊增长的行业是软件即服务(SaaS)。在整个2015年，几乎看不到对这个行业的网络钓鱼攻击，但是在2015年后，针对这个行业的攻击量在2016年增长了近两倍。尽管在2016年针对该行业的攻击量只占到总量的2.1%，但是有可能这个数据在未来会继续增加，以该行业为目标的攻击会更加频繁。和云存储行业类似，软件即服务行业中的钓鱼攻击几乎只针对两家公司：Adobe和DocuSign。

前五个最有针对性的行业中，在最近四年中，只有基于万维网的电子邮件服务/在线服务行业受到的网络钓鱼攻击份额在持续增长。在这一时期，它从2013年的11%，持续增长到2016年的21%。

针对支付服务公司和电子商务网站的攻击量在2015年都有所下降，但是到了2016年，和2015年相比，又有了明显增加。2015年针对支付服务公司的攻击次数下降超过28%，是在攻击总量上唯一出现下降的行业。然而，在2016年，针对支付服务公司的攻击量又有所反弹，攻击量增长了80%，现在针对它的攻击量在总攻击量中占14%，然而，这远远低于2013年26%的份额，当时针对该行业的攻击量和其它行业的相比，该行业排在第二位。针对电子商务公司的攻击和2015年相比增长了44%，现在的份额占11%。

尽管2016年在大多数行业中，都看到了网络钓鱼攻击次数的增长，但是在少数行业中，攻击量又有所减少。如游戏行业，在2013年到2015年里都看到了稳定的增长，但是在2016年，针对该行业的攻击量急剧减少了75%，减少的比任何行业者都多。针对社交网络网站的网络钓鱼攻击在2015年有大量增长，但2016年和2015年相比，该行业遭受网络钓鱼攻击的次数下降了17%。

针对政府服务网络的钓鱼攻击在2016年也急剧增加。这种增长几乎完全由于对政府税收征管机构的网络钓鱼攻击在激增。自2014年，针对这些机构的攻击在份额上增长了300%。很明显，钓鱼者发现它们是非常有吸引力的目标。几乎所有针对政府税收征管机构的网络钓鱼攻击都发生在四个国家：加拿大(加拿大税务局)、法国(公共财政总局)、英国(英国税务海关总署)、美国(国内税务局)。

但是，产生这些变化的原因是什么呢？

因为一个根本性的变化在整体钓鱼威胁景观中正在发生。这个变化是：网络钓鱼威胁主体正在发展他们的战术，从而使他们的工作变得更容易，并将好用的功能内置到许多网站中。通过改变它们的目标和技术，钓鱼者有了一些变化：

1.更有效率的收集凭据。

2.专注于收集更广泛的信息，可以用来促进其他类型的犯罪。

3.转变的更间接，但可能更有利可图。

出现这个变化的主要原因是，在很多网站中都存在一个同样的弱点(账号密码重用导致的弱点)，包括几乎所有的云存储服务和SaaS公司，我们已经看到以这些服务为目标的攻击正在大幅增长。这些服务允许它们的用户通过身份认证进入各自的账户，并且使用了邮箱和密码进行认证，代替了以前使用的用户名和密码的方式。这种方式带来的问题是它们的很多用户会简单的重复使用他们的邮箱和密码，而不是为每一个账户重新创建一个邮箱和密码对。

是什么驱动钓鱼者以他们为目标呢？

最近的趋势表明，网络钓鱼威胁主体先前公认的动机从根本上改变了。现在，钓鱼者选择目标时有三个主要动机：

1.立即接管账户—-钓鱼者可以偷取账户中的钱，或在地下市场中出售这些账号。

2.凭据增值—-钓鱼者可以利用这些通用账号(例如.邮箱账号)在更大的范围内发动撞库攻击。

3.数据多样化—-钓鱼者收集受害者的综合信息，这些信息可以利用到其它犯罪活动中，如身份盗窃、税收欺诈、或是在地下经济中出售这些信息来赚钱。

在钓鱼生态系统中，使用邮件地址作为一个账户的登录凭据是易被攻击的一个最大弱点。通过利用这个身份认证机制，云存储服务和SaaS网站给网络犯罪创造了一个巨大机会。通过以这些网站为目标，网络犯罪分子可以很容易地收获到用户的所有电子邮件服务凭据。这比分别攻击每一个邮件提供者更有效，它使网络犯罪有效的回避了潜在的反钓鱼措施。

除了让钓鱼者的工作更高效，通过组合大量邮件地址和密码，去攻击其它使用了相同账号或密码的网站(撞库攻击)，可以有效的扩大恶意活动范围。

钓鱼景观中的这项进化也反应出了一个心态上的变化，钓鱼者使用他们收集信息是为了经济获益。根据以往的经验，当钓鱼者攻击了金融机构的客户后，他们通常会立即使用获得的凭据进入受害者的账户，并偷走受害者的钱。尽管针对金融机构的攻击维持在一个持续的水平，但是在2016年，钓鱼景观的特征是针对凭据的攻击呈爆发式增长，并且这些凭据通常不能立即获利。

随着最近在策略上的转变，钓鱼者可能会以一种更为间接的方法从被盗的凭据中赚钱。有两种基本方法可以使他们做到这一点。第一种方法是使用撞库攻击金融账户，并偷走钱。威胁主体利用这种技术，并通过接管多个不安全的账户，可以获得一个让收入更加多元化的机会。第二种方式法是在地下论坛和暗网市场中出售大量收获的凭据，这是2016年媒体的热门话题，尽管这个市场目前已经趋于饱和，但是这些大量凭据现在还是能卖到50到1000美元不等。

值得注意的是，这意味着许多钓鱼者的真正的目标可能不是云存储和SaaS泄露的账户，这些账户可能只是一个庞大计划的中间环节。

从过去的经验看，网络钓鱼攻击的主要目标信息是凭据和个人基础数据，但是最近的攻击趋势表明钓鱼者现在对个人、金融、就业、和账户安全信息都有更广泛的关注。在钓鱼攻击时，钓鱼者为了获得信息，会欺骗受害者，并迫使受害人输入更多需要的信息用于“验证”或“恢复”他们的在线账户，这是钓鱼者诱骗受害人时最常见的诱惑方法。

为什么钓鱼者会关注这么广泛的信息呢？一个可能的原因是在将来的网络钓鱼和账户接管活动中更能有利可图。例如，越来越多的钓鱼网站在收集账户安全信息，如常见的挑战/应答组合和母亲的娘家姓，这些信息可用于在密码重用攻击期间绕过验证机制。受攻击更频繁的另一个信息是受害者的电话号码，不仅可以知道受害人的电话号码，并被用于绕过双重因素的身份验证，还可以利用电话号码通过短信方式实施短信钓鱼攻击，这种方式正在迅速成为一个更受欢迎的攻击向量(通常被称为短信诈骗)。

值得注意的是，钓鱼网站收集的大量信息可以被轻易的用于各种其他犯罪目的，如身份盗窃。金融信息是钓鱼者最喜欢的目标之一，它可以被用于信用卡诈骗犯罪。2016年针对税务机构的网络钓鱼攻击呈爆炸式增长，这也表明，钓鱼者将从钓鱼攻击中得到的信息用到了报税诈骗中。

2016年初最大的一个网络安全事件是网络钓鱼攻击了美国国内税务局(IRS)。数量相当大，2016年1月份观察到的针对IRS的钓鱼网站比2015年全年的都多。我们观察到钓鱼攻击不仅针对纳税人，还包含纳税专家(为他人准备纳税申报的人)。对于大多数IRS钓鱼攻击诈骗，偷取纳税人的信息是主要目的。这种攻击形式很多，但是通常攻击者会提交一个看似合法的欺诈性报税表，从而收集受害人的任何个人的、金融的、和就业的相关信息。

这些信息包括个人识别信息(PII)、申报情况、雇主的信息、和收入等。有些钓鱼网站甚至会进一步收集受害人的配偶和家属信息、电子档案的PIN细节、和完整的W2数据。

在2016年。钓鱼者使用了很多策略来诱骗受害提交他们的个人和金融信息。对于IRS钓鱼主题，欺诈纳税人最常用的方法是声称受害人需要更新或核实他们的信息，以便于纳税申报成功得到处理。

针对税务专家的诈骗通常采用的方法是伪装成IRS电子服务门户网站的一个报税登录认证页面，以获取电子服务凭据。IRS电子服务允许纳税专家索取电子客户记录和提交客户申报单。在2016年早期，针对电子服务凭据的网络钓鱼攻击非常流行，以至于IRS向准备纳税的人发送了一个警告，提醒可能存在的诈骗。

下面是一个电子服务网站钓鱼页面：

尽管针对报税的攻击活动总量并不是很多，但是这些攻击造成的损失可能会很大。同时，虽然我们在2016年观察到了针对IRS的一个网络钓鱼攻击活动高峰，但是我们的分析表明，这些用于制造IRS攻击的工具包可能是由一个相对较少的个体完成的。和针对其它行业的钓鱼攻击相比，大部分IRS欺骗都不太复杂。即使如此，我们也观察到有一些钓鱼者使用了先进的功能，以提高他们钓鱼网站的真实性，并限制某些访问者访问这些网站。鉴于这这种钓鱼攻击在2016年很成功，因此，在2017年初，我们很有可能会看到这类钓鱼攻击活动的小高峰。

4.攻击什么时候发生？

在2016年，钓鱼攻击活动总量的高峰出现在年中，第四季度有所回落。这和前几年有所差别，前几年是攻击量随着时间在稳步上升，直到年底出现攻击高峰。2016年年中高峰可能是因为钓鱼者利用了一些主要的全球事件(如英国退欧)，以及被攻击的虚拟Web服务器数量异常激增。

在2013年到2015年期间，贯穿全年的网络钓鱼攻击趋势遵循一个持续的和可预测的模式。在近三年，网络钓鱼攻击通常会始终增加，并在第四季度节日期间达到高峰。但是这不是2016年的情况，2016年的攻击高峰出现在年中。此外，2016年12月观察到的网络钓鱼攻击数量是近两年中最低的。

这偏离了历史模型，主要因为以下两个因素：

1.钓鱼者利用了历史性的全球事件。

2.针对Web服务器的攻击数量激增。

英国退欧效应

正如我们这些年观察到的，钓鱼者会利用实时事件、重大事件、或全球危机来攻击潜在的受害人。因此，在节日期间，网络钓鱼攻击活动通常会激增，这利用了消费者在每年的这段时间内对接收到某些公司通信的预期。通常，在这段时间，当攻击者使用和上下文相关的诱惑策略时，网络钓鱼攻击会更容易成功，因为目标人群习惯于接收相同类型的合理邮件。

就像钓鱼者希望在一定的时间段去利用人们的自满情绪，他们同样会尝试利用因重大事件给受害人造成的焦虑和害怕。对英国公投脱欧的不确定和焦虑，导致了今年中期一些有针对性的钓鱼活动大幅增加。当察看针对英国机构的钓鱼攻击时，从网络钓鱼总量能清楚的看出英国脱欧是这次网络钓鱼攻击激增的原因。整体来看，2016年针对英国的攻击总量和2015年相比，减少了23%，但是2016年五月和六月份，由于公投的影响，针对英国机构的攻击出现了一个高峰。这些激增的攻击主要集中在支付服务公司和政府机构。这两个月网络钓鱼攻击的平均量是其它月份平均量的一倍以上。到七月份，英国脱欧公投结束之后，针对英国实体的网络钓鱼攻击数量暴跌。

上图是2016年每个月针对英国的网络钓鱼攻击数量。

针对共享虚拟WEB服务器的攻击激增

另一个导致年中网络钓鱼攻击数量激增的因素是没有预想到的，这就是针对共享WEB虚拟服务器的攻击大幅增加。然而这种技术并不是新的，近年来它的使用并不广泛。在2016年，我们观察到超过300个事件涉及到沦陷的虚拟Web服务器，并影响到超过14000个域名。这代表了全年网络钓鱼攻击量的10%。这些攻击的三分之一发生在两个月内，五月和六月，这两个月的攻击影响了8000个域名。

尽管全年的网络钓鱼趋势和前几年有所不同，但是大部分特定行业的趋势还是保持了历史上的相似性。我们看到针对电子商务网站、社交网站和SaaS公司的钓鱼活动随着时间的推移在持续的增加。相反，随着2016年的结束，我们看到了针对云存储网站、金融机构和政府服务的网络钓鱼攻击在减少。这些发现支持这一假设：尽管金融机构和云存储网站是两个最常见的目标行业，但是钓鱼者也会在重要的时期选择攻击其它行业(如节日期间的电子商务网站)，使成功的可能性最大化。

5.攻击发生在哪里？

与往年一致，2016年，美国机构仍然是网络钓鱼攻击迄今为止最受欢迎的目标。在美国，钓鱼者的首选目标是实体，和其它国家相比，针对美国组织的网络钓鱼攻击份额在持续增长。在2014年，71%的网络钓鱼攻击针对美国的机构。到了2016年，份额已经增长到81%。并且在这三年期间，以美国为目标的网络钓鱼攻击总量增加了一倍。

针对加拿大的网络钓鱼攻击总量在2016年增长了237%。有趣的是，针对加拿大的攻击总量并没有在某一个月出现一个异常的攻击高峰，而是持续上升到2016年三月份，并在此后一直保持在高水平的位置。这次增长主要归因于针对加拿大金融机构的攻击在2016年增长了444%。一年的持续性增长趋势表明，加拿大金融机构已经成为钓鱼者更具吸引力的目标。如下图所示：

观察到针对少数国家机构的网络钓鱼活动显著下降。在2015年针对中国的网络钓鱼攻击数量几乎翻倍后，到了2016年，针对中国的钓鱼攻击下降了48%。针对英国实体的网络钓鱼攻击近年来迅速下降，2014年下降了38%，2016年下降了23%。

最近观察到的最有趣的变化之一是针对南非公司的大规模网络钓鱼攻击数量有所下降，在2014年，南非商业是钓鱼攻击的第六个最受欢迎的目标。过去两年，针对该国的网络钓鱼攻击数量减少了90%。在网络钓鱼总量中排在了全世界第22位。

6.如何进行网络钓鱼攻击？

本报告在这节中，将主要分析和洞察开展网络钓鱼攻击所利用的策略、技术、和过程。这些基本组件是我们在调查和减缓网络钓鱼攻击的过程中发现的。通过识别、分析、和关闭这些组件，我们让钓鱼者进行攻击、收集偷取信息、和获利更加困难。

网络钓鱼服务器托管地址

59%的网络钓鱼网站托管在美国。和2015年相比，托管在东欧的钓鱼网站数量急剧增长，托管在东亚的有所下降。

大多数钓鱼网络托管在被攻击的WEB托管服务器上。在2016年，80%的钓鱼网站的托管地只有10个国家，托管在美国的就有59%。紧随美国之后，最常见的托管钓鱼基础设施是德国(4%)、英国(4%)、荷兰(3%)、俄罗斯(3%)。如下图所示：

托管在东欧的钓鱼网站数量急剧增长。2016年很多在这个地区的国家托管的钓鱼服务器是2015年的两倍，包括拉脱维亚(+360%)、塞尔维亚(+152%)、波兰(+123%)、立陶宛(+116%)、保加利亚(+112%)、捷克共和国(+111%)、俄罗斯(+110%)。很多其它的国家也有显著上升，包括巴拿马（+657%）、意大利（+98%）、荷兰（+88%）、澳大利亚（+86%）、印度尼西亚（+83%）。

和东欧的增长情况相反，值得注意的是托管在很多东亚国家的钓鱼网站有所减少。这些国家和地区包括台湾（-43%）、香港（-38%）、韩国（-34%）、日本（-30%）。我们看到2016年托管在中国的钓鱼网站实际上有一个净增长，不过下半年托管在中国的钓鱼网站和上半年的相比减少了50%，整体来看处于净增长。其他托管钓鱼网站数量减少的国家包括智利（-50%）、印度（- 33%）、土耳其（-24%）、南非（-23%）。

钓鱼网站使用的顶级域名(TLDs)

不出所料，2016年超过51%的钓鱼网站托管在注册的“.com”顶级域名上，这个比例和2015年的基本相同。

除了“.com”域名，钓鱼网站最常用的顶级域名还有.br,.net,.org,.ru,.uk,.au,.info,.in,和.pl。以这10个顶级域名相关的钓鱼网站占到了总量的四分之三。

因为绝大多数钓鱼网站都位于被钓鱼者攻破的(肉鸡)域名上，而不是恶意注册的域名。

在2016年，我们识别出钓鱼网站托管在432个不同的顶级域名上，与2015年观察到的280个顶级域名相比有显著增长。这种增长的主要原因似乎是钓鱼者开始将更多的钓鱼网站托管在最近创建的通用顶级域名上(gTLDs)。这些新的通用顶级域名是由ICANN在2011推出的一个最新的通用顶级域名扩展计划批准的。去年，在220个新gTLDs上发现了钓鱼网站的内容，和2015年托管在gTLDs上的钓鱼网站数量(66)相比，2016年的数量多了三倍。最常用的gTLDs是.TOP，.XYZ，.ONLINE，.CLUB，.WEBSITE，.LINK，.SPACE，.SITE，.WIN和.SUPPORT。

尽管使用新gTLDs域名的钓鱼网站仅有2%，但是托管在新gTLDs域名上的钓鱼网站总体上增长了1000%，证据表明，钓鱼者在构建他们的钓鱼计划时，新gTLDs域名已经开始成为更受欢迎的选择。

有几个原因导致了新gTLDs域名在钓鱼生态系统中获得了吸引力。一是注册一些新gTLDs域名很便宜，对那些想对他们钓鱼基础设施有更多控制权，不想将钓鱼网站架设在一个被攻破的WEB服务器上的钓鱼者，这种方法的成本较低。其次，钓鱼者可以利用一些新开发的gTLDs域名建立网站，并使用诱惑性的字符串，在潜在的受害者看来可能更合理。例如，在2016年，已经发现在下面的域名中托管了各种钓鱼内容：

一目了然，每一个出现的这个网站，对于一个不知情的受害者，都包含了看似合法的、有用的字符串。在过去，当钓鱼者注册一个域名用于将钓鱼内容托管在上面时，他们通常在域名的名称中包含了与目标相关联的内容，这给网站增加了一个合法性的光环。现在，使用新gTLDs域名，钓鱼者有了诱骗受害者的另一种选择。

在识别可能存在的针对公司或行业的钓鱼活动时，分析它的顶级域名是一个有用的工具，特别是当观察到一个很少和钓鱼网站有关的TLD域名，突然出现了钓鱼攻击了高峰时。从分析的角度看，需要注意的是，使用这种技术识别出的所有域名都是恶意注册的域名，而不是通过钓鱼主体攻破的域名。因此，当识别出一个攻击高峰时，收集的域名注册人信息是一个有价值的情报。

下面列出这些TLD高峰，包括：

1.2016年秋天，一个使用了“.link”域名的钓鱼网站攻击了美国技术公司，导致了一次TLD高峰。

2.2016年夏天，在一次活动中，使用了“.ga”域名的钓鱼网站针对主要支付服务公司的攻击急剧上升。

3.2016年6月，使用了“.hu”顶级域名的钓鱼网站，在对多个webmail提供商的攻击活动中制造了一次攻击高峰。

4.2016年4月，一个针对一家大型美国金融机构的攻击高峰和使用了“.ng”顶级域名的钓鱼网站有关。

5.2016年8月至9月，使用了“cloud”顶级域名的钓鱼网站，制造了对一个美国云服务提供商的大规模攻击活动，并且在此后和这个域名有关的攻击活动很少被观察到。

6.2016年7月至8月，使用了“gq”顶级域名的钓鱼网站和一个针对德国支付服务公司的攻击高峰是有关系的。

如下图所示：

网络钓鱼工具包

网络钓鱼工具包是文件的集合，通常包含在归档文件中，如一个ZIP文件，它包含了所有用于创建一个钓鱼网站所需的组件(HTML/PHP页面模板、脚本、图片等等)。在2016年，我们收集到了超过29000个独立的网络钓鱼工具包，它们包含了创建钓鱼网站的组件，并针对超过300个不同的公司。

因为从本质上讲，工具包是大多数骗子创建网络钓鱼网站的“配方”。通过广泛收集和分析网络钓鱼工具包，我们能更深入理解钓鱼者进行诈骗所用的技术。通过分析这些工具包，我们可以识别出任何可能会部署的反检测机制，因此，我们可以更好地制定对策，以防止这些反检测机制能成功绕过检测。通过手工分析和动态分析，我们可以将工具包关联到由它创建的个别钓鱼网站上，并且能更好的了解到钓鱼者使用了哪些主要工具包。我们可以识别出这些工具包的传播机制(社交媒体、文件托管网站、地下论坛、供应商网站等)，并通过关闭传播点，来阻断工具包的支持链。

钓鱼者为了防止他们的钓鱼网站被探测和关闭，有时会尝试使用不同的技术来限制对他们网站的访问。这其中的一种方法是钓鱼者利用某种类型的访问控制技术来尝试阻止不需要的访问者，根据特定的规则来阻止对网站的访问，如根据IP地址、用户代理字符串、主机名、或HTTP referrer。通常，这些访问控制是以PHP脚本的HTACCESS文件或黑名单的形式存在的。虽然比较罕见，但我们还是观察到网络钓鱼工具包利用访问白名单，而不是根据确定的特点来阻止访问者，从而只允许复合特定标准的人访问该网站。这种白名单机制通常用于针对一个特定区域或国家的攻击，它可以根据IP地址位置来过滤访问者。

2016年，在我们分析的工具包中，42%使用了HTACCESS文件，17%使用了PHP黑名单来限制访问。为更全面的控制一个钓鱼网站的访问者，41%的工具包结合了HTACCESS文件和PHP黑名单机制。如下图所示：

另一种钓鱼者使用的试图逃避检测的技术是动态改变每个钓鱼网站访问者的URL，使基于浏览器的阻止(大概)不那么有效。网络钓鱼工具包有两种主要的技术用于尝试逃避基于浏览器的探测：目录生成和随机URL参数。

2016年，在我们分析的网络钓鱼工具包中，14%包含用于在钓鱼网页URL的末端产生随机参数的脚本。这种方法和目录生成类似，每次加载的钓鱼页面URL结果都不一样。虽然URL参数具有合法用途，他们在钓鱼网站使用的目的通常是良性的(虽然已经发现一些复杂的工具包，会为钓鱼网站加载特定参数)。使用该技术的目的与目录生成器相同，然而，它们之间最大的区别是不用在服务器上创建或复制新文件。

在网络钓鱼生态系统中有一个有趣的一面，有很多威胁主体从事攻击活动，但是只有一少部分钓鱼者有足够成熟的水平，并能从头开始写出钓鱼工具包。因为这个原因，工具包作者可以通过将工具包传播给水平低的用户，并以此来获利。工具包作者在钓鱼生态系统中赚钱的方法有两种：一种是出售工具包，一种是传播免费的带有后门的工具包。销售工具包的地方一般是地下论坛、卖主网站、或暗网市场。大多数工具包的价格在1美元到50美元之间，依据是目标和工具包的成熟度。然而，有些工具包捆绑了其他功能，如活动追踪控制面板，并可以出售数百美元。这是钓鱼工具包作者最简单和最直接的赚钱方式。但实际情况是工具包不是免费的，因此花钱买工具包的人可能很有限。

这就是为什么越来越多的钓鱼工具包作者选择将他们的工具免费传播给潜在的用户。这些工具包有时会在地下黑客论坛中循环，但是也有许多是通过社交媒体和免费文件托管网站公开传播的。

使用免费商业模式时，工具包作者通常会在他们的工具包中捆绑后门，该后门除了将钓鱼信息发送给工具包用户包，还可以将所有从攻击活动中得到的数据发送到工具包作者控制的设备上。这些后门通常会混淆在工具包中，通常情况下，水平低的工具包用户是无法察觉到的。因此，除了直接出售工具包来获利，还可以通过免费传播工具包，然后通过捆绑的后门秘密收集工具包用户的个人信息和金融信息，并通过出售这些信息来赚钱。

四、勒索软件的爆发

2015年末到2016年初的恶意软件趋势表示勒索软件正在到处流行。在2016年第一季度结束之前，分析家和行业内的人将这种趋势称作“勒索软件年”。一年快速过去，这个词变成了“老生常谈”，当然这也没错。毫无疑问，2016将会被人们铭记，因为在这一年里，勒索软件在恶意软件领域变成了最普遍的和最有利可图的威胁。

尽管勒索软件作为一个威胁在信息领域已经存在几十年，今年由勒索软件的恶意天性产生的震动，引起了外界对IT安全行业的关注。大量媒体每天都在报道有关企业已经变成了勒索软件的猎物，及由此产生的影响和为此付出的代价。消费者也没能幸免。由此产生的效应是，全世界的广大用户已经认识到“勒索软件”一词是指软件，只不过这个软件会限制对一个计算机的访问，并向受害人要求赎金，用于恢复访问权。当然，这个简单的意识并不等于有能力阻止勒索软件的感染，在恶意软件作者和恶意行为主体的努力下，勒索软件在继续增长。

1.勒索软件为什么会如些流行？

勒索软件在攻击者中流行是由多种原因造成的，包括盈利能力、简易性和可行性。获取利益是产生网络犯罪最大的原因。2016年初，勒索活动的成功，被媒体的不断报道放大了。导致了其它的网络罪犯远离了各种各样其它的冒险，并将手申向了勒索软件。勒索软件的简易性使得这种改变更加容易。

勒索软件允许攻击者使用一个配置攻击所有目标用户。它也允许立即将感染货币化–不需要出售凭据、不需要欺诈处理、不需要进一步的初会工程学。通过将加密数字货币引入主流经济的方法，使攻击者在匿名的情况下赚钱成为了可能。对于勒索软件攻击者，他们以前冒着暴露的危险，需要依赖信用卡或预付款卡，现在有一个可靠的并且匿名的方法来收取大量赎金。多个结合的因素导使了勒索软件日益流行。

2.谁是参与者？

在过去几年里，参与创建和传播勒索软件的人显著扩大。已经建立的勒索软件家族继续释放更强的进化、更精致的版本，如Cryptolocker和Cryptowall勒索软件。这些知名的勒索软件家族催生了希望充分利用前人成功的新变种、模仿者、相似者。可能最好的例子就是Locky，它是2016年最成功的一个勒索软件家族，该勒索软件和Dridex银行木马的作者是有关系的。

在这一年，我们观察到勒索软件即服务模型在不断扩张。类似于Cerber和Petya/Mischa的勒索软件允许技术水平一般的攻击者通过制作恶意软件参与到勒索软件趋势中，并提供分销、与会员分割利润。在某些情况下，大量类似于这些缺乏技术的参与者也加入了编写自己恶意软件的行列中，导致了劣质勒索软件的灾难，因为这些劣质勒索软件往往比预期更具破坏性。过去一年勒索软件的全面成功鼓励和刺激了威胁主体瞄准了广泛的消费者和商业目标。

3.谁是被攻击的目标？

过去一年，勒索软件最有趣的一个趋势是其成熟的目标计划，越是成功的勒索软件家族越是这样。以前，勒索软件的传播大多采用广播攻击方法，攻击者试图最可能多的捕获受害者。这种策略和2016年初很多勒索软件家族的传播策略是相同的。随着一年的过去，勒索软件的攻击目标发生了转变，慢慢的远离了个人消费者，因为这些人很少愿意支付赎金恢复文件。

相反，勒索软件活动慢慢的开始向有针对性的鱼叉式网络钓鱼活动进化，专注于小型企业、学校、政府机构、关键基础设施和医疗设施。有几个因素使这些组织成为首要目标。一他们有高价值的数据，数据可用性是这些组织最重要的日常工作，在很多情况下，他们愿意支付赎金用于立即恢复访问。二他们通常会为IT人员提供一些预算，并且没有足够的准备用于保护他们的IP资产，或响应一起事件。最后，这些组织经常受规章制度约束，从而使他们创建或存储备份的能力复杂化。在这种情况下，支付赎金可能是恢复加密数据唯一的方法。

4.为什么勒索软件会成功？

现代勒索软件在感染它们的目标上很成功，这有很多原因。也许最重要的原因是它们使用的传播方法利用了一个最薄弱环节—人类。到目前为止，勒索软件最普遍的传播方式是网络钓鱼邮件。粗心的用户会陷入社会工程策略、浏览恶意网址、下载恶意文件、并执行恶意程序。

其他感染载体包括利用工具包、恶意广告、偷渡式下载、和扫描网络脆弱的软件。这些方法仍然依赖人类未能保持软件更新或利用未知/不受信任的软件。

除了传播方法，勒索软件的成功还依赖于它使用了强大的加密算法和完善的密钥管理。高质量的现代勒索软件样本会利用成熟的加密算法，并会将解密密钥存储在只有攻击者才能访问到的安全位置，由此来降低安全专家对样本采用逆向工程的机会，或降低受害人没支付就解密的机会。

最后，成功的勒索软件是功能健全的，并且在收集赎金后能兑现解密文件的承诺。如果支付不能导致解密，当消息传播后，恶意行为参与者将会知道他们的感染将无法货币化。

就感染量而言，现代勒索软件是非常有效的，但是就财产转化率而言，它并不是很有效。仅仅一小部分受感染的用户会支付他们要求的赎金。对于许多人，数据丢失已成为生活的事实，以前经历过数据丢失，他们会跨过勒索软件的感染，并从头开始。其他人是因为对购买加密数字货币和跟进付款太陌生或不舒服。还有一些人是因为觉得有义务避免为犯罪集团提供资金。尽管财产转化率比较低，但是被感染用户的支付数量已经足以使勒索软件在未来的岁月里成为一个永远有吸引力的攻击向量。

5.勒索软件的未来

勒索软件流行了一年后，下一步是什么？一些已经开始发展的趋势有助于回答这个问题。尽管大部分勒索软件针对的是Windows用户，但是一些勒索软件作者已经开始创建针对其它平台的样本。这种趋势可能会继续，并伴随着更复杂的OSX、Linux、服务器操作系统、和手机平台恶意软件的产生。

此外，勒索软件参与者可能会攻击物联网设备，最近的非勒索攻击已经证明了在这个领域存在显著的脆弱性。攻击者除了扩大勒索软件针对的目标平台，可能还会寻求扩大勒索软件的功能。赎金消息早已包含在公开披露的威胁中，但是最近，勒索软件样本包含了数据渗漏功能，从而允许这种威胁采取更多行动。过去一年中观察到的样本正在吸纳计算机成为僵尸网络，并窃取比特币钱包、故意破坏数据、收获电子邮件地址和登录凭据。根据勒索软件目标的进化，勒索软件作者还将继续扩展其功能。如前所述，攻击者将某些商业和行业作为勒索软件攻击的主要目标，但随着时间的推移，目前勒索软件正在瞄准的目标组织将会增强他们的抵抗力。然而，这不会是勒索的末日。攻击者将会通过他们的成功策略，继续寻找那些具有高价值数据，但又同时存在弱信息安全态势的组织和行业，这将确保有针对性的勒索攻击继续扩散。

五、结论

2016年，网络钓鱼威胁景观以深刻的方式改变了航向，打破历史趋势，并描绘出了一个未来的道路，这条道路和我们以前所预期的有本质的不同。考虑到由这两个变革事件带来了严重的网络犯罪结果，这一年因此变得更加引人注目。

云服务、SaaS、和其它在线服务提供商已经广泛采用了用邮箱代替唯一用户名的友好做法。这种做法使网络钓鱼攻击更容易收集到邮箱/密码凭据对。威胁主体抓住这次机会，并在前所未有的范围内收获了大量凭据对。广泛采用这种身份认证的做法触发了一个涟漪效应，而这将改变整个网络犯罪生态系统，在未来的几年我们都会感受到。

尽管勒索软件已经存在了几十年，但是加密数字货币的出现，将它从新奇事件变成了全民公敌。当然，这是一个合理的预期，因为加密数字货币给犯罪份子提供了一个机会，它给网络犯罪份子提供了一个真正匿名且有合法货币价值的全球在线货币。然而，没有预料到的是，它导致了一个新的、更精简的网络犯罪商业模型，这个商业模型从以前的偷取有价值的数据，变成了直接从受害人那收集加密数字货币赎金。这种商业模型使勒索软件迅速站到了恶意软件景观的顶端，并将在以后的多年里继续塑造网络犯罪世界。

本报告中展现出的趋势和信息，能帮助安全领导人、从业人员和其它社区人员呈现出由这两个事件带来的影响，及2016年我们观察到的很多其它的变化。尽管这些趋势会继续变化，但是它对我们理解网络钓鱼攻击仍然会持续流行和有效很重要。网络钓鱼是攻击的主要方法，不论它的目的是偷取凭据还是传播勒索软件。为了在今天的威胁景观中存活，组织必须将防御网络钓鱼攻击放在首位。