警惕黑客利用亚马逊Prime Day进行网络钓鱼攻击

关键要点

• 黑客利用亚马逊的热门Prime Day进行钓鱼和窃取凭证的攻击。
• 安全团队应该提醒员工关注增加的网络威胁，尤其是当很多人仍在远程工作时。
• 近期，亚马逊相关的钓鱼攻击日均增长了37%，需提高警惕。

网络安全研究人员警告称，黑客正在利用亚马逊备受欢迎的Prime Day来进行钓鱼攻击，企图获取用户的凭证信息。随着亚马逊PrimeDay于周二东部时间凌晨3点开始，Avanan的研究团队提醒安全工作人员，黑客借助亚马逊的人气发送钓鱼邮件和。

这些攻击大多针对消费者，尤其是在远程工作仍是常态的情况下，安全团队需要向员工发出警告，以应对可能增加的威胁。

Avanan的指出，这些骗局在接下来的几天将显著增加。研究人员还发现，伪装亚马逊的攻击案例显著上升，黑客希望通过假冒邮件窃取用户凭证，以此引导用户进入钓鱼网站。如果用户参与调查，则可能会获得亚马逊礼品卡的承诺，但实际点击的链接却是获取凭证的页面。

Check Point Research最近发现，与六月份的日均数据相比，亚马逊相关的钓鱼攻击日均增加了37%。在去年的Prime Day，CheckPoint观察到与此次促销相关的钓鱼邮件增长了86%，而钓鱼网址增长了16%。

据Gurucul的创始人兼首席执行官Saryu Nayyar表示，亚马逊PrimeDay已成为网络犯罪分子的主要攻击目标，本周Walmart、Macy’s、Target和其他大型零售商的促销活动也同样吸引了关注。

Nayyar指出：“邮件和社交媒体广告可以被攻击者伪造，吸引渴望抢购折扣的消费者点击那些看似诱人的链接。使用公司设备在PrimeDay购物的员工，尤其要小心不认识的发件人发送的链接。”“在居家工作的时代，员工往往在非工作时间也会使用自己的设备。这一做法若未遵循网络安全最佳实践和公司政策，就会形成严重的安全隐患。”

Bolster, Inc.的市场副总裁RyanMcCurdy补充道，全球75%的公司经历过某种形式的钓鱼攻击，这是一种黑客轻松窃取员工、客户和合作伙伴数据的方式。McCurdy表示，钓鱼骗局之所以如此令人信服，是因为它们往往模仿一个品牌或可信人员的外观，细节处理得非常精细。而且，钓鱼攻击还利用了人们的行动偏见，促使用户立刻做出反应。

McCurdy指出：“随着员工适应不同于办公室的工作环境，他们的主要关注点不一定在于安全和强大的身份验证方法。”“遗憾的是，许多组织仍然仅依赖密码来访问设备、应用和网络。然而，密码本身存在多种固有的弱点——容易被猜到、重复使用，当然也容易被钓鱼。凭证填充攻击便依赖于密码重复使用这种不智的做法。”

The Media Trust的首席执行官ChrisOlson补充道，进行钓鱼攻击的网络犯罪者愈发机会主义，捕捉任何可以利用的趋势来实现其目标。Olson指出，在疫情期间，与疫苗和假冒健康产品相关的钓鱼攻击数量激增，而像PrimeDay这样的公司活动则是诱骗受害者的绝佳机会。

Olson提醒消费者：“他们需保持警惕，电子邮件并不是他们可能遭遇钓鱼攻击的唯一方式。”假冒链接可能通过恶意广告以及常见网站和移动应用中的重定向传播，也可以通过短信扩散。随着钓鱼攻击在今年第一季度达到历史新高，组织需在各自域名上加强数字信任和安全措施，同时消费者在