威瑞森报告揭示企业安全趋势威瑞森的《数据泄露调查报告》DBIR揭示了主要的企业安全趋势。随着对传统网络钓鱼企图检测能力提高移动攻击途径正逐渐超过电子邮件威胁企业需要开展以移动设备为重点的网络钓鱼培训。2026年报告引发防护质疑在威瑞森2026年的《数据泄露调查报告》中该公司指出以移动设备为中心的网络攻击越来越普遍且与通过电子邮件发送的同类网络钓鱼企图相比其点击率更高这引发了人们对现有网络钓鱼防护措施是否足够的质疑。移动社交工程成焦点基于2025年从31000多起实际安全事件收集的数据其中有22000起已确认的数据泄露事件影响了145个国家的组织威瑞森称“移动设备比电子邮件更危险”。一系列网络钓鱼模拟评估支持了这一说法在这些评估中以移动设备为中心的攻击途径——包括语音钓鱼vishing和短信诈骗——是成功的诱饵其点击率比传统电子邮件网络钓鱼诈骗高出40%。人为因素成安全短板人往往是安全系统中最薄弱的环节威胁行为者深知这一点。不过这并不意味着我们的整体网络安全意识没有提高只是网络犯罪分子在改变策略。根据威瑞森的报告在已知并记录在案的数据泄露事件中62%存在“人为因素”较上一年略有增加增幅为2%。不幸的是数据显示许多网络犯罪分子正在利用我们的信任来窃取数据、实施支付欺诈或者为更严重的安全事件包括勒索软件攻击和敲诈勒索埋下伏笔。当发送网络钓鱼电子邮件不足以达到目的时他们开始采用威瑞森所说的“借口诈骗”pretexting这一令人担忧的发展凸显了心理学在现代网络攻击中扮演的角色日益重要。借口诈骗与网络钓鱼社交工程占所有数据泄露事件的16%指的是通过心理手段诱使我们采取危及个人安全和隐私或企业安全的行动。这些手段包括员工允许冒充快递员的犯罪分子进入安全建筑或者有人冒充你处于财务紧急状况的亲人。当应用于移动技术时网络钓鱼通常表现为恶意的虚假短信、语音消息和电话。这不仅仅是网络犯罪分子冒充你给电信运营商打电话更换SIM卡如果采用“借口诈骗”策略犯罪分子会先与受害者建立信任基础然后再设下陷阱。可以将其视为针对特定目标、更复杂攻击中通用网络钓鱼尝试的升级版。例如财务部门的员工可能会成为目标攻击者通过移动消息和电话与他们建立友好关系冒充高管、团队成员或供应商。当建立了足够的信任后受害者就会被骗更改发票的付款细节不知不觉地将现金转给犯罪分子而非供应商。在威瑞森的数据集中模拟电子邮件网络钓鱼活动的平均点击率为1.4%而基于电话的网络钓鱼点击率约为2%高出40%。报告称“无论使用何种术语各种攻击者都在通过冒充帮助台人员或需要重置密码的用户来利用这些手段并且取得了一定程度的成功。归根结底在我们的数据集中使用以电话为中心的途径短信、语音或回拨邮件进行的社交攻击比传统的电子邮件途径更成功。”更多关键安全趋势威瑞森的研究还显示近三分之一31%的安全漏洞始于对系统漏洞的利用这是首次利用安全漏洞作为进入目标系统的初始切入点超过了使用被盗凭证目前记录显示13%的安全事件是由被盗凭证导致的。这一转变被认为是由人工智能AI引起的。根据报告网络犯罪分子正在利用人工智能来缩短利用漏洞所需的时间“将防御窗口从数月缩短至数小时”。此外美国网络安全和基础设施安全局CISA记录的关键漏洞在2025年只有26%得到了完全修复和解决低于2024年的38%。另一个企业应关注的有趣趋势是影子AI。企业长期以来都知道影子IT员工在未经明确批准的情况下使用设备和在线服务但现在影子AI也成为了潜在的安全风险。总体而言67%的员工在公司发放的设备上使用非企业AI账户。影子AI是去年记录的第三大常见非恶意内部威胁用户经常将敏感的公司机密数据包括源代码、研究和技术文档提交给这些模型。如何加强防护由于样本量较小威瑞森关于以移动设备为中心的网络钓鱼研究的一些常见结论存在一定局限性。然而这是因为可用的数据点较少似乎没有多少公司开展以移动设备为重点的网络钓鱼模拟或培训这也揭示了一个潜在问题。网络钓鱼培训并不新鲜但其效果存在争议尤其是当它仅仅被视为一项每年例行勾选的任务时。由于很少有组织考虑到现代网络钓鱼策略中的移动设备因素他们可能面临更大的风险特别是当员工使用自己的设备访问企业网络和系统时。如果网络犯罪分子能够直接联系不知情的员工从而绕过安全系统那么在反网络钓鱼防御方面的投资可能就会付诸东流。对于企业来说解决方案是制定新的策略以应对电子邮件和移动设备上传统和不断演变的网络钓鱼威胁。随着“借口诈骗”的增加培训应让员工明白网络钓鱼不再只是广撒网式的电子邮件攻击这些犯罪分子会触动你的心弦利用你的信任来达到他们的目的。此外这些攻击可能通过员工自己的设备发生而企业无法控制这些设备它们可能对企业安全构成无形威胁因此企业应重新考虑是否允许员工使用自带设备或者取消自带设备办公的方案。虽然允许员工使用自己的智能手机在短期内可能为公司节省资金但数据泄露的代价可不低。
威瑞森报告:移动网络钓鱼超邮件攻击,企业需加强移动网络钓鱼培训
发布时间:2026/5/21 15:15:44
威瑞森报告揭示企业安全趋势威瑞森的《数据泄露调查报告》DBIR揭示了主要的企业安全趋势。随着对传统网络钓鱼企图检测能力提高移动攻击途径正逐渐超过电子邮件威胁企业需要开展以移动设备为重点的网络钓鱼培训。2026年报告引发防护质疑在威瑞森2026年的《数据泄露调查报告》中该公司指出以移动设备为中心的网络攻击越来越普遍且与通过电子邮件发送的同类网络钓鱼企图相比其点击率更高这引发了人们对现有网络钓鱼防护措施是否足够的质疑。移动社交工程成焦点基于2025年从31000多起实际安全事件收集的数据其中有22000起已确认的数据泄露事件影响了145个国家的组织威瑞森称“移动设备比电子邮件更危险”。一系列网络钓鱼模拟评估支持了这一说法在这些评估中以移动设备为中心的攻击途径——包括语音钓鱼vishing和短信诈骗——是成功的诱饵其点击率比传统电子邮件网络钓鱼诈骗高出40%。人为因素成安全短板人往往是安全系统中最薄弱的环节威胁行为者深知这一点。不过这并不意味着我们的整体网络安全意识没有提高只是网络犯罪分子在改变策略。根据威瑞森的报告在已知并记录在案的数据泄露事件中62%存在“人为因素”较上一年略有增加增幅为2%。不幸的是数据显示许多网络犯罪分子正在利用我们的信任来窃取数据、实施支付欺诈或者为更严重的安全事件包括勒索软件攻击和敲诈勒索埋下伏笔。当发送网络钓鱼电子邮件不足以达到目的时他们开始采用威瑞森所说的“借口诈骗”pretexting这一令人担忧的发展凸显了心理学在现代网络攻击中扮演的角色日益重要。借口诈骗与网络钓鱼社交工程占所有数据泄露事件的16%指的是通过心理手段诱使我们采取危及个人安全和隐私或企业安全的行动。这些手段包括员工允许冒充快递员的犯罪分子进入安全建筑或者有人冒充你处于财务紧急状况的亲人。当应用于移动技术时网络钓鱼通常表现为恶意的虚假短信、语音消息和电话。这不仅仅是网络犯罪分子冒充你给电信运营商打电话更换SIM卡如果采用“借口诈骗”策略犯罪分子会先与受害者建立信任基础然后再设下陷阱。可以将其视为针对特定目标、更复杂攻击中通用网络钓鱼尝试的升级版。例如财务部门的员工可能会成为目标攻击者通过移动消息和电话与他们建立友好关系冒充高管、团队成员或供应商。当建立了足够的信任后受害者就会被骗更改发票的付款细节不知不觉地将现金转给犯罪分子而非供应商。在威瑞森的数据集中模拟电子邮件网络钓鱼活动的平均点击率为1.4%而基于电话的网络钓鱼点击率约为2%高出40%。报告称“无论使用何种术语各种攻击者都在通过冒充帮助台人员或需要重置密码的用户来利用这些手段并且取得了一定程度的成功。归根结底在我们的数据集中使用以电话为中心的途径短信、语音或回拨邮件进行的社交攻击比传统的电子邮件途径更成功。”更多关键安全趋势威瑞森的研究还显示近三分之一31%的安全漏洞始于对系统漏洞的利用这是首次利用安全漏洞作为进入目标系统的初始切入点超过了使用被盗凭证目前记录显示13%的安全事件是由被盗凭证导致的。这一转变被认为是由人工智能AI引起的。根据报告网络犯罪分子正在利用人工智能来缩短利用漏洞所需的时间“将防御窗口从数月缩短至数小时”。此外美国网络安全和基础设施安全局CISA记录的关键漏洞在2025年只有26%得到了完全修复和解决低于2024年的38%。另一个企业应关注的有趣趋势是影子AI。企业长期以来都知道影子IT员工在未经明确批准的情况下使用设备和在线服务但现在影子AI也成为了潜在的安全风险。总体而言67%的员工在公司发放的设备上使用非企业AI账户。影子AI是去年记录的第三大常见非恶意内部威胁用户经常将敏感的公司机密数据包括源代码、研究和技术文档提交给这些模型。如何加强防护由于样本量较小威瑞森关于以移动设备为中心的网络钓鱼研究的一些常见结论存在一定局限性。然而这是因为可用的数据点较少似乎没有多少公司开展以移动设备为重点的网络钓鱼模拟或培训这也揭示了一个潜在问题。网络钓鱼培训并不新鲜但其效果存在争议尤其是当它仅仅被视为一项每年例行勾选的任务时。由于很少有组织考虑到现代网络钓鱼策略中的移动设备因素他们可能面临更大的风险特别是当员工使用自己的设备访问企业网络和系统时。如果网络犯罪分子能够直接联系不知情的员工从而绕过安全系统那么在反网络钓鱼防御方面的投资可能就会付诸东流。对于企业来说解决方案是制定新的策略以应对电子邮件和移动设备上传统和不断演变的网络钓鱼威胁。随着“借口诈骗”的增加培训应让员工明白网络钓鱼不再只是广撒网式的电子邮件攻击这些犯罪分子会触动你的心弦利用你的信任来达到他们的目的。此外这些攻击可能通过员工自己的设备发生而企业无法控制这些设备它们可能对企业安全构成无形威胁因此企业应重新考虑是否允许员工使用自带设备或者取消自带设备办公的方案。虽然允许员工使用自己的智能手机在短期内可能为公司节省资金但数据泄露的代价可不低。
)
)
)
)
