浏览器安全报告:网络钓鱼比率增长 1100%


移动端浏览器的作用在很多时候已经被特定的应用程序所替代,但在桌面端,浏览器依然扮演着非常重要的角色,是很多用户工作和生活中使用最为频繁的工具,也是很多 Web 应用与服务的入口。

浏览器安全平台 LayerX 日前发表了年度浏览器安全报告,让大家可以一窥浏览器以及互联网的安全状况,让用户可以有针对性地做出改变,提升安全性。

这份报告既包含了 2022 年最突出的浏览器安全风险,还包括对 2023 年的预测和建议。不过报告研究的重点是企业环境,但其中的一些关键点也同样适用于小型企业和家庭环境。

回顾 2022 年,LayerX 研究发现浏览器的主要安全问题可以分为 9 大类:

  • 通过高信誉网站的钓鱼攻击
  • 通过文件共享系统传播恶意软件
  • 在企业环境中,使用个人浏览器配置导致泄露数据
  • 使用版本过时的浏览器
  • 薄弱的账号密码
  • 易受攻击的非托管设备
  • 高风险的浏览器扩展
  • 影子 SaaS
  • 用 AiTM 攻击绕过 MFA

以网络钓鱼为例,为了减轻网络钓鱼的风险,许多安全供应商通过确定 URL 的安全级别来过滤网站。这种网站安全检查是基于域名的信誉,它是由不同的指标计算出来的,如 URL 历史、IP 信誉、网站的受欢迎程度等等。如果一个网站足够可信,它就能通过检查。

只不过有越来越多的证据表明,网络钓鱼活动通过在合法和受信任的域名(如 Google、微软、AWS、GitHub 等)上托管钓鱼网站来欺骗 URL 过滤供应商。

根据研究,在 2021 年 6 月至 2022 年 6 月之间,在合法的 Saas 平台上托管的新发现的网络钓鱼 URL 的比率增加了 1100% 以上。

Layerx 还进行的一项实验中,测试了商业浏览器和网络安全工具对托管在高信誉域名上的 1-day 网络钓鱼网站的检测能力,结果发现表现最好的浏览器的捕获率仅为 36%(遗漏了大约三分之二的攻击),网络安全软件阻止了 48% 的威胁(遗漏了 50% 以上的攻击)。

在工作环境中使用个人配置会导致多种安全风险:

  • Chrome 等浏览器会同步网站和应用程序的密码,这可能会意外地导致敏感的公司密码被同步到个人设备上。
  • 文件上传到个人云和文件共享系统是一个主要的数据丢失风险,因为它可能暴露敏感的公司数据。
  • 使用带有个人配置的公司应用程序可能导致公司数据泄漏,因为它增加了数据被意外或故意分享到公司以外的风险。

Laverx 对 500 个随机浏览器进行的分析发现,有 29% 的企业用户将浏览器连接到个人配置文件,与被检查的浏览器配置文件相连的 5.8% 的身份在数据泄露中被暴露,这使得涉及这些身份的凭证处于危险之中。

作为主要的工作工具和互联网接入的门户,浏览器自然是黑客普遍针对的攻击点。虽然报告的大部分内容是针对企业和大型商业环境的,但也适用于家庭用户和小型企业。

上述内容仅仅是报告的节选,完整报告共有 19 页,可点击链接下载。


相關推薦

2022-11-05

云存储平台 Dropbox 最近公开了他们遭遇的严重安全事件,黑客通过网络钓鱼的方式获得其 GitHub 账户的访问权,导致 130 个私有的代码仓库被盗。 据 Dropbox 称,这些仓库包括为了公司内部使用而略加修改的第三方库的副本、内部

2022-11-30

%) 能源 (33%) 银行和金融服务 另一方面,2023 年的网络安全问题也依旧是各方关注的重点。数据表明,2022 年上半年,全球共发生 28 亿次恶意软件攻击和 2.361 亿次勒索软件攻击。截至 2022 年底,预计将发起 60 亿次网络钓鱼攻

2023-08-20

起了一份请愿书,旨在阻止法国政府强迫 Mozilla Firefox 等浏览器审查网站。 据悉,法国政府正在制定一项旨在打击网络欺诈的 SREN 法案 (“Projet de loi Visant à sécuriser et reguler l'espace numérique”),包含大约 20 项提案。其中导致此

2023-10-09

中的新型技巧,使恶意邮件看起来像是Microsoft Outlook中的安全工具发出的扫描警报。这是首次记录到ZeroFont网络钓鱼技术以这种方式的使用。【针对 Microsoft 365 的钓鱼即服务平台 Greatness - FreeBuf网络安全行业门户】 3. 谷歌为攻击

2023-09-13

(提供发票)。 漏洞利用要求 官方最新稳定版ROM 浏览器版本通过小米应用商店更新到最新版本 保持默认的系统设置,或是正常使用手机的设置,无任何特殊改动 不能申请和使用Accessibility权限 外界未曝光细节与 POC

2023-03-11

在 2015 年,Google 为了防止恶意软件篡改 Chrome 浏览器,影响用户正常上网、修改搜索结果、重定向到其他页面,或者在用户访问的页面中注入额外的广告(非网站自身的广告),推出了一个清理工具 —— Chrome Cleanup Tool(Chrome

2022-11-03

互联网安全公司 SonicWall 最新发布了一份 2022 年网络威胁报告,基于 215 个国家和地区的超过一百万个全球传感器收集的数据,探讨了安全专业人员需要关注的一些危险的趋势。报告指出: 2022 年上半年记录了 28 亿次

2022-10-02

active Video Service),被用于视频编解码器,允许独立于用户浏览器的编解码器支持的一致视频解码。其次是一个 npm 模块 Hyphenopoly,它为 CSS hyphenation 提供了一个 polyfill;核心算法是以的 WebAssembly 模块提供的,因此占用空间小且性

2023-07-07

,各组织仍在快速招聘人才以填补云技术、区块链和网络安全等新兴领域的职位。 麦肯锡最近的一份报告显示,43% 的组织目前面临技能缺口;Korn Ferry 的数据也表明,截至 2030 年可能会出现 8500 万的人才短缺,导致同年潜在

2022-01-12

网络安全公司 Check Point Research 最新发布的一份 2021 年调查报告指出,从 2020 年中期到 2021 年,网络攻击的数量呈上升趋势。这一趋势在 2021 年年底达到了历史最高水平,在全球范围内达到每个组织每周遭受 925 次网络攻击的峰

2023-03-21

展,Go语言蝉联腾讯最热门编程语言。与2021年相比,兼备安全、便利、速度、可移植等特性的新一代编程语言 Kotlin、Swift 和 Rust 等增速较快。 全球专利申请数量超 6 万件 腾讯持续投入基础软件研发,2022年一到三季度研发投

2024-09-24

不兼容的法规,成为了广泛采纳的障碍。 高关注领域:安全与 AI 开源软件在增强软件安全性方面越来越受到认可。调查显示,76%的受访者认为 OSS 比专有软件更安全。此外,开源模型在人工智能(AI)领域也逐渐受到重视。开

2023-06-01

Kali Linux 是一份基于 Debian 的发行,它带有一套安全和计算机取证工具,其特色在于及时的安全更新、对 ARM 架构的支持、有四种流行的桌面环境供选择,以及能平滑升级到新版本。 目前 Kali Linux 发布了 2023.2 版本,此版

2023-05-06

、银行账户信息、信用卡信息等。 目前市面上所有的浏览器都会在与网站通过 HTTPS 建立安全连接之后,在浏览器地址栏的左侧显示一个锁图标。但大家真的了解这个图标的含义吗? 在 2021 年,Google 在一项调查研究中发现,