攻击者在商业电子邮件泄露（BEC）攻击中大量使用了X-rated钓鱼诱饵。一份新的研究报告发现，涉及到性暗示的社交工程学攻击激增了974%，这些事件通常会针对公司的男性进行攻击。

　　GreatHorn的威胁情报团队发现了这一情况，并解释说这并不是简单的利用人类的性欲驱使用户点击这些具有暗示性材料。相反，这些突然出现在人们工作屏幕上的电子邮件是为了使用户感到很震惊，这种策略被GreatHorn称为 “炸药式网络钓鱼 ”。

　　根据该报告，犯罪分子并不总是使用那些非常明显的暗示，其目的是使用户的心理失去平衡，内心受到惊吓，降低用户大脑做出理性决定的能力。

　　漏洞、渗透、勒索、重复

　　据GreatHorn观察，这些恶意网址主要做了以下的三件事。诱导用户下载恶意软件；将用户引导到一个假的约会网站，诱使受害者输入支付数据；或跟踪用户进行后续的攻击，报告称这很可能会涉及到敲诈勒索。诈骗者通常会使用一种叫做电子邮件传递的策略来追踪他们的受害者。

　　报告说：“一旦用户点击了电子邮件中的一个链接，他们的电子邮件地址就会自动传递给链接的网站。在这些攻击中，网络犯罪分子会利用他们收集到的信息，为后续阶段的攻击做准备”。

　　GreatHorn在这里分享了一个X级钓鱼诱饵的例子，研究人员解释说，这个链接会把用户带到一个照片网站，然后再引导到一个具有诈骗性的约会网站。

　　GreatHorn补充说：“这种方式收集的用户数据将被传输给网络犯罪分子，他们将利用这些数据达到各种恶意攻击目的，如提款、敲诈或实施进一步的欺诈行为。

　　除了会给个人带来问题之外，这些网络钓鱼攻击对组织来说也变得越来越危险。

　　令人震惊的 “网络钓鱼 ”攻击

　　为了证明网络钓鱼的诱饵现在已经变得多么阴险，Agari网络情报部门（ACID）将8000个账户凭证放在他们所控制的钓鱼网站上，然后仔细观察接下来会发生什么。

　　该报告称接下来发生的事情令人非常震惊。四分之一的账户凭证一经发布就自动被攻击者窃取。

　　几乎所有（92%）被入侵的账户都是由攻击者手动攻破的。该公司发现，大约20%（五分之一）的账户在发布一个小时内被访问登录，91%的账户在被入侵后一周内被访问登录。

　　ACID团队解释说：“虽然大多数被攻击的账户只被攻击者访问过一次，但我们观察到一些特例，有些网络犯罪分子对被攻击的账户进行了持续的访问”。

　　更糟糕的是，随着这些攻击者获得了越来越多的账户访问权，这些账户就会被用来发动更多的攻击。

　　他们警告说：“我们看到骗子创建了新的转发规则，转向了其他应用程序，包括微软OneDrive和微软团队，他们会试图向外发送钓鱼邮件，有时甚至会是数以千计的；并且利用这些账户建立其他的BEC基础设施。

　　网络钓鱼是最大的安全威胁

　　Lookout的Hank Schless告诉Threatpost，目前网络钓鱼是所有组织都面临的最大的网络安全挑战之一。

　　他解释说：“网络钓鱼攻击几乎可以作为所有网络攻击的催化剂。在过去的一年里，我们已经看到了无数的勒索软件攻击和数据泄露的发生，这些都是由于个人的登录凭证被泄露而引发的。”

　　Schless补充说，这种攻击在移动设备上只会更加复杂，因为用户一般会在通信、应用程序等之间来回的切换。

　　Netenrich公司的Sean Cordero说，现在是企业完全重新思考他们的IT运营策略和风险管理策略来有效应对网络钓鱼的时候了。

　　他解释说：“他们需要了解自己企业可攻击面的范围，如果一个组织不知道他们所暴露的资产的数量，也就无法保护内部资产和与外部环境的连接。不幸的是，那些组织严密、资金充足的攻击者有足够的时间和资源来找到攻击点”。