近一半的组织在过去一年中遭遇了语音钓鱼或社会工程攻击 媒体

企业面临的语音钓鱼和社交工程攻击风险

关键要点

根据Mutare的一份报告，超过三分之一的组织表示他们不跟踪语音流量的数量，这可能会导致存在恶意的语音钓鱼事件。照片由Sean Gallup/Getty Images提供

Mutare于周三发布了一份报告，发现47的组织在过去一年中遭遇过语音钓鱼vishing或社交工程攻击。

更为令人担忧的是，大多数组织并不知道网络中存在多少未请求的语音流量，以及潜伏在这些未请求流量中的威胁的严重性。未请求流量包括自动拨打电话、伪装和垃圾电话、垃圾信息风暴、语音钓鱼、短信钓鱼以及社交工程攻击。

调查还发现，所有行业中，有9的电话是企业收到的未请求电话。此外，45的所有未请求流量与恶意活动有关，而55则与干扰活动相关。令人震惊的是，超过三分之一38的组织表示他们没有收集关于进入的未请求潜在恶意语音流量的任何数据。

恶意钓鱼诈骗之所以如此令人信服，主要是因为它们通常模仿品牌或可信人物的外观，甚至细节入微，Boltser Inc的市场副总裁Ryan McCurdy表示。他提到，诈骗者更是利用人类的行动偏见，呼吁立即采取行动。

在短信钓鱼smishing活动中使用的战术与钓鱼phishing活动中相同， McCurdy说。

McCurdy还指出了一些可以识别诈骗文本的技巧： 恶意短信通常来自邮件地址或网络服务，导致发件人的电话号码以短代码形式显示。 合法公司绝不会通过短信请求机密信息。要直接访问其官网进行登录。如果对收到的链接存在疑虑，可以使用免费的钓鱼网站扫描器，例如wwwcheckphishai。

SlashNext首席执行官Patrick Harr表示，社交工程钓鱼诈骗仍然是组织面临的重大问题，并且其攻击方式正在转向短信、协作工具和社交媒体。Harr提到，他们的团队发现对短信和消息保护的请求有所增加，因为商业短信欺诈和商业电子邮件欺诈正成为组织检测和阻止的日益严重的问题。

“我们在RSA大会上听到的信息中，安全专业人员最关心的点是移动威胁和保护移动BYOD，”Harr表示。“我们一致听到短信钓鱼smishing、语音钓鱼vishing和商业短信欺诈是安全防护中最令人担忧和防护最薄弱的领域。保护移动BYOD尤其具有挑战性，因为涉及隐私问题。”

Lookout的安全解决方案高级经理Hank Schless补充说，攻击者将重点从通过电子邮件钓鱼个体转移到更个人化的社交媒体渠道，近期语音钓鱼和二维码钓鱼的增加正是这一趋势的体现。Schless表示，可能会更广泛地使用深度伪造技术，以模仿个体的声音或面孔，使恶意通信更加可信。

“无论这些攻击如何演变，组织始终需要保护员工和数据，无论他们在何处工作，使用什么设备，及如何访问数据，”Schless说。“归根结底，保护数据才是最重要的。”