2024 年需要了解的 21 个最新网络钓鱼统计数据（网络钓鱼网络）

网络钓鱼对于企业和消费者来说是一个非常真实且常见的威胁。 网络钓鱼的目标是让受害者做一些他们通常不会做的事情，例如泄露登录凭据或提交敏感的客户数据或公司知识产权。

本文总结了网络安全行业专家的最新网络钓鱼统计数据。

网络钓鱼统计数据：了解网络钓鱼的成本和频率

• 2023 年 BEC 损失将超过 2.9 万亿美元

FBI 互联网犯罪投诉中心 (IC3) 根据根据 2023 年互联网犯罪报告，2023 年网络钓鱼/欺骗（这些数据汇总在一起）投诉总数将达到 298,878 起。 已报告。 这个数字比以前要低。 2021年投诉量为342.94起。 然而，特别有趣的是，报告的网络钓鱼损失大幅减少，报告期内的损失“仅”1,870 万美元，低于 2021 年报告的 1.264 亿美元损失。

请注意，IC3 将商业电子邮件泄露 (BEC) 攻击与网络钓鱼分开列出。 然而，许多组织经常将 BEC 攻击计入网络钓鱼统计数据，从而导致对可能的重叠感到困惑。 关于 BEC 欺诈，IC3 表示，这些攻击造成的损失将在 2023 年超过 2.9 万亿美元（2021 年为 2.4 万亿美元）。

当然，这些数字是基于报告的违规和损失。 但我想知道有多少人和企业没有报告损失。

•攻击者可以在违规后两天内窃取数据。

当然，并非所有成本都是金钱成本。 从时间角度看待网络钓鱼的另一种方法是攻击、响应攻击或从攻击中恢复所需的时间。

根据 Palo Alto Networks 的 2024 年事件响应报告的数据，攻击者已经找到了如何消除网络防御者必须响应数据泄露并保存数据的时间。 研究人员表示，2021 年，“从违规到违规的中位时间为 9 天”。 但到 2023 年，这个数字将减少到只有两天。

在下一次勒索软件攻击中在攻击示例中，Palo Alto 报告称，该攻击完成了以下步骤，并在 14 小时内对目标组织造成了重大损害： 这一切都始于一封网络钓鱼电子邮件。

p>

图片来源：Palo Alto Network 的 2024 年事件响应报告

•94% 的组织报告网络钓鱼受访者称自己是攻击的受害者

下载在《2024 年电子邮件安全风险报告》中，对 10 个受访组织进行的调查发现，9 我们注意到您的组织已报告成为网络钓鱼攻击的受害者。 然而，毫不奇怪的是，几乎所有接受调查的组织 (96%) 都表示他们受到了这些攻击的“负面影响”。

网络钓鱼攻击通常用于诱骗用户交出登录凭据（和其他敏感信息）或向诈骗者支付费用，但发现得太晚这是可以预料的，因为这种情况经常发生案件。

•71% 的网络威胁涉及网络钓鱼

根据 ReliaQuest 的年度网络威胁报告，该公司的安全团队将并观察到网络入侵。 7起案件包括使用网络钓鱼链接和附件。 社会工程被认为是恶意行为者通过利用合法用户获得初始访问权限的最常见方式。

研究人员预测，2024 年商业电子邮件攻击将会增加。 这在一定程度上是由于生成式人工智能技术的使用，该技术可以用来创建模仿真人的声音：你的老板、同事，甚至家庭成员。 会员）发言的目的是进行深度假语音网络钓鱼。

• 79% 的帐户接管 (ATO) 攻击是由网络钓鱼造成的

根据 Egress 前述《2024 年电子邮件安全报告》的研究，几乎每 5 起 ATO 攻击中就有 4 起事件是由网络钓鱼发起的由攻击者。 使用了网络钓鱼电子邮件。 ATO 攻击通常始于恶意行为者使用有针对性的网络钓鱼仔细审查目标公司（和/或特定员工）。

不良行为者喜欢将这种骗局用于各种目的，包括诱骗员工提供登录凭据或进行欺诈性付款。

•2023年全球网络钓鱼攻击将增加58.2%

正如所料，坏人还没有准备好放弃鱼竿或鱼饵。 根据 Zscaler ThreatLabz 2024 年网络钓鱼报告的数据，与 2022 年相比，2023 年全球网络钓鱼攻击数量预计将同比增长近 60%。

在 Online Security Cloud 2023 年调查的超过 20 亿笔网络钓鱼交易中，研究人员发现工作诈骗、语音网络钓鱼攻击和浏览器中浏览器攻击急剧增加。 （BitB 攻击通常涉及攻击者使用来自其他平台（例如 Apple、Google 或 Meta）的链接登录凭据来创建类似于登录应用程序和服务时常见的身份验证弹出窗口的虚假登录信息。）

标题：取自 ahrefs.com 登录服务或网站的屏幕截图，可以使用其他登录屏幕。 来自网站、应用程序或服务的凭证

• 2023 年，每年总共发送 34 亿封“垃圾邮件”

2023 年，仅 Cloudflare 电子邮件安全服务报告被阻止。 34 亿封“垃圾邮件”（包括网络钓鱼电子邮件）。 这些电子邮件类型包括批量电子邮件、垃圾邮件和恶意电子邮件（包括网络钓鱼）。 这一数字比 2022 年的 24 亿封电子邮件增长了近 42%。

该公司报告称，平均每天发送 930 万封此类电子邮件，其中 3% 是恶意的。 这意味着 2023 年发送的恶意电子邮件超过 1.02 亿封。 这相当于每天大约 280,000 封恶意电子邮件。

请注意，这些数字指的是 Cloudflare 成功阻止的电子邮件数量。 这不包括可能突破您的防御的其他实例...

网络钓鱼统计数据：要注意什么

•模拟正确报告的网络钓鱼电子邮件不到五分之一。

p>

根据 Proofpoint 2024 年网络钓鱼情况报告的数据，用户正确报告（而不是被忽略或删除）作为网络钓鱼模拟发送的电子邮件的比例仅为 18.3%。 近一半（9.3%）的模拟网络钓鱼电子邮件被用户点击。

•9.96% 的员工承认自己做过“愚蠢的事情”。

没错。 Proofpoint 研究中的另一个令人震惊的统计数据是，96% 的用户表示他们会故意做一些有风险的事情，即使他们知道这样做有风险。

图片来源：Proofpoint

那么我们为什么要这样做呢？通常归结为用户优先考虑便利性而不是安全性。

• 10.54%的员工因“信息超载”而忽视安全警告

根据CybSafe调查数据，45%的上班族表示，由于压力和疲劳，他们“可能会忽略安全警告”。网络安全警告。” 但更令人担忧的是，还有 9% 的人表示他们“经常”这样做。

70.6% 的调查受访者“非常有信心”或“有信心”他们能够识别和避免在线网络安全威胁（网络钓鱼电子邮件、不安全网站等）。正如受访者所说，这种情况尤其令人担忧那 。 更糟糕的是，43% 的人表示，由于方便，他们“跳过或忽略了推荐的网络安全最佳实践”。

•GPT 在不到 10 次查询的情况下创建了一个网络钓鱼页面。

人工智能（AI）技术，尤其是生成式人工智能（genAI），是令人惊叹的。 创造令人惊叹的艺术作品和逼真的音频和视频。 （不，我不会详细讨论人工智能培训材料及其生成的图像可能涉及的潜在版权问题和担忧；这是一个完全不同的问题。）当被恶意者使用时，它们也会构成巨大的威胁并提出无法隐藏的担忧。

例如，Zscaler 的 ThreatLabz 的研究人员使用 ChatGPT 的 AI 聊天机器人按照一系列提示创建逼真的 Microsoft 主题网络钓鱼攻击，其步骤比烘焙美味蛋糕所需的步骤还要少。登陆页面。

•Deepfakes 诈骗金融官员近 2600 万美元

CNN 报道，香港未公开身份的金融官员在一家大型国际金融公司工作期间，一次网络钓鱼攻击导致 genAI 迫使他转账超过 2500 万美元。 它是如何完成的？ 使用 genAI。

攻击者利用 Deepfake 技术创建虚假音频和视频记录。 这包括与目标举办一场虚假的网络会议，其中包括公司首席财务官 (CFO) 和我所参加的国际网站的其他官员的深度伪造录音。

显然，该记录足够可靠，该员工可以在一系列 15 笔交易中转移资金...

网络钓鱼统计数据：常见的网络钓鱼策略和技术

•2023 年第四季度，近 43% 的网络钓鱼攻击针对社交媒体

反网络钓鱼工作组（根据 APWG 的网络钓鱼活动趋势报告， 2023 年第四季度，针对社交媒体平台的网络钓鱼攻击大幅增加。 APWG 创始成员 OpSec Security 提供的数据显示，较 2023 年第三季度增长了 126%。

根据 APWG 主任 Dave 在 Piscitello 的相关文章中的说法：“通过在帖子和评论中嵌入网络钓鱼 URL，攻击者可以将受害者引导至 Facebook 上的虚假网站。 、LinkedIn、Twitter、Tumblr、Snapchat、Google+、Instagram 等，其中包含数千个网络钓鱼和其他恶意 URL。 攻击者还通过短信、SMS、Skype、Messenger 或其他消息服务发送网络钓鱼诱饵，这些新的攻击媒介是由于网络钓鱼者如今传播的社交流动性和消息种类的增加而适应的平台多样性。”

APWG 跟踪世界各地独特的网络钓鱼网站和独特的网络钓鱼电子邮件主题。 该工作组称 2023 年是“有记录以来最糟糕的渔业年”。

• 49% 的恶意电子邮件使用链接

Cloudflare 发现安全团队发现的所有恶意电子邮件威胁中近一半都包含链接，我们引用的数据显示这种情况经常发生。

来自。在某些方面，这并不奇怪，因为恶意行为者喜欢使用链接来诱骗用户访问网络钓鱼或恶意网站。 然而，它也强调了员工网络意识培训的重要性。 应尽一切努力确保区分真实链接和恶意链接。

•68% 的违规行为与“人为因素”有关。

``68% 的数据泄露事件与“人为因素”有关。 许多行业报告均已发表，包括来自 Hashed Articles 的报告。 “Out”指的是Verizon每年发布的“人为因素”数据泄露统计数据。 我们在之前的文章中已经小心地指出，这个数字既包括无意的人为错误，也包括恶意的特权滥用。 （即经常造成伤害的恶意或未经授权的使用）

Verizon 现在将它们分开，以便在 2024 年 DBIR 报告中提供更清晰的统计数据（注：DBIR 的作者表示他们这样做是出于以下原因）。人们专注于提高网络安全意识作为解决方案，因此恶意使用信息的资格不符合该概念） 因此，不包括特权滥用，这意味着共有 10,626 起事件。 他们的分析中确认的数据。 报告称，违规行为涉及“人为因素”，发生在 94 个国家（总共 30,458 起安全事件）。

但是如果仍然包含滥用行为怎么办？这个数字会增加到 76%。

•GenAI 在短短 5 分钟内创建了可信的网络钓鱼。

网络犯罪分子可以使用生成人工智能来观察从您最喜欢的咖啡店提取手机咖啡订单所需的时间。 传递欺骗性网络钓鱼消息的技术。 该数据来自IB。 M 的 X-Force 研究人员在《X-Force 威胁情报指数 2024 年报告》中表示，它为攻击者节省了近两天的制作消息的时间。

•Microsoft 和 Google 帐户占网络钓鱼假冒事件的 49%

Check Point Research 报告称，2024 年第一季度网络钓鱼攻击中被模仿最多的品牌是 Microsoft（38 %）和谷歌（11%）。edIn 紧随其后，增加了 11%。

2024 年第一季度最常遭受网络钓鱼攻击的 10 个品牌是：

图形来源：Check Point Research

•2023 年发送了 1868 万封以 Microsoft 为主题的欺骗性网络钓鱼电子邮件。

根据 Proofpoint 数据，恶意攻击者发送的电子邮件平均如下： 每天 186,301 封恶意电子邮件 特定于 Microsoft 和/或 Microsoft 产品的电子邮件。 那么，不法分子在欺诈性电子邮件中最常滥用的产品是什么？——Office 365。

Zscaler 的 2024 年网络钓鱼报告数据还显示，微软是最常被模仿的品牌，43.1% 的网络钓鱼攻击中出现了冒充行为。

•94% 的组织在 Microsoft 365 中受到威胁

Microsoft 365 是全球领先的办公软件套件提供商之一。 因此，从很多方面来看，不良行为者试图利用微软的声誉来做坏事也就不足为奇了。 Egress 的专业电子邮件安全风险报告调查显示，近 9.5 的受访者在其 Microsoft 365 环境中成为攻击目标。

• 51% 的组织受到供应链账户篡改的影响

根据 Egress 的一项研究，超过一半的组织受到供应链账户篡改的影响。 Chain Influence承认其受到了网络钓鱼攻击的影响。 这凸显了数字信任的重要性以及随时验证与您通信的人的真实性的方法的重要性。

供应链攻击通常是由第三方软件或电子邮件帐户的安全问题引起的。 Proofpoint 在其关于供应链攻击的威胁简报中表示，在 2021 年 2 月的一周内，研究人员分析了数据的 3,000 个组织中，98% 的组织“收到了来自冒充或篡改供应商的威胁。”据报道。 。

•到 2023 年，网络钓鱼网站的数量将超过 1340 万个

Bolster 在其 2024 年网络钓鱼和在线欺诈状况报告中表示：与过去几年相比，网络钓鱼和其他欺诈网站的数量显着增加。 据该公司研究人员称，检测到的欺诈网站数量从2020年的6,942,158个增加到2023年的13,438,810个，增长了近94%。

来源：Bolster.ai

从以上数据来看，网络钓鱼邮件是主要的之一对安全的威胁。 此类电子邮件会伪装成合法通信，并诱骗收件人泄露用户名、密码和财务信息等敏感信息。

针对这一问题，企业和个人可以采取以下防护措施： 其中之一是使用电子邮件安全证书。

电子邮件安全证书 (S/MIME) 通过数字签名和加密来确保电子邮件的真实性和机密性。 数字签名可以证明电子邮件发件人的身份并防止篡改。 加密还可以防止未经授权的人员读取您的电子邮件内容。

来源 | 哈希

图像来源 | 哈希

编辑 | 公钥密码学开放社区

免责声明

1.本文部分内容摘自网络，不代表本网立场。 本网站不保证上述信息的来源、准确性或完整性。 无论哪种情况，本文中的信息仅供您参考。

2.本文以分享为主。 如果您有自己的索赔或侵权行为，请及时与本站联系。 该文章将在24小时内删除。

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：2024 年需要了解的 21 个最新网络钓鱼统计数据（网络钓鱼网络） https://zhujicankao.com/140058.html