据统计，有高达82%的网络钓鱼网站是针对移动设备设计的，而利用HTTPS协议建立的假安全网站数量也在不断增加。

据Zimperium实验室的报告显示，针对移动设备的网络钓鱼(M-ishing)攻击网站正大幅增加，现在每五个网络钓鱼网站中就有超过四个是专为移动设备设计的。

这项研究基于Zimperium Labs团队的数据进行分析，发现超过半数（54%）的企业因为员工未经授权访问其移动设备中的敏感和机密信息而发生数据泄露事件。

值得注意的是，Zimperium 检测到的网络钓鱼网站中有82%是专门针对移动设备的，并且在2023年提供了专门针对移动设备用户浏览的内容。过去三年中，这一数字增长了7%，显示出针对移动用户的网络钓鱼攻击数量的显著增加。

据观察，这一趋势有三个关键驱动因素：一是员工在工作中越来越多地使用个人设备；二是移动设备上网环境堪忧，存在不少安全隐患；三是AI技术的滥用为恶意行为提供了便利条件。

01

不断扩大的攻击面，更容易被黑客攻击

据Zimperium透露，移动设备相较于桌面系统而言，通常配备的安全保护措施较为有限。这主要是因为移动设备的硬件与操作系统相对简单，加之屏幕尺寸较小，用户难以发现网络钓鱼企图和潜藏的URL栏。因此，安全防护措施不佳以及屏幕限制等问题，使得移动设备容易受到攻击。

加之现在越来越多的员工倾向于使用移动设备，这就使得针对这类设备的网络钓鱼成为一个亟待解决的问题。研究显示，有高达71%的员工通过手机完成工作，更有60%的员工会通过智能手机进行工作交流。

当前，约82%的企业员工被允许携带自己的设备（BYOD）工作，其中近半数（48%）的员工利用个人智能手机来获取工作相关信息，他们平均每天在手机上的工作时间有3个小时。

随着移动设备的普及，对业务运营的重要性日益增加，因此保护这些设备免受攻击变得至关重要，尤其是防止各种网络钓鱼攻击。对此，Keeper Security的安全架构副总裁Patrick Tiquet指出：“企业应当建立严格的移动设备管理（MDM）策略，无论是公司发放的设备还是员工自带设备，都需要符合安全标准。同时，定期更新设备和安全软件可以确保及时修补漏洞，有效抵御针对移动用户的已知威胁。”

02

难缠的移动钓鱼攻击

M-ishing（移动钓鱼攻击）被突出为困扰移动领域的顶级安全挑战，无论是在公共部门（占10%）还是私营部门都是如此。更重要的是，现在有76%的钓鱼网站在使用HTTP协议，这给用户一种错误的通信协议安全感。

“利用HTTPS进行网络钓鱼并非新鲜事，”Zimperium产品战略副总裁Vishnubhotla表示，“去年的报告显示，在 2021 年至 2022 年期间，针对移动设备的网络钓鱼网站的百分比从 75% 增加到 80%。其中一些已经使用了HTTPS，但重点是将目标活动转变为针对移动设备。”

“今年，我们看到这种针对移动设备的攻击策略数量的急剧上升，标志着对移动设备的攻击达到了成熟阶段，这种转变有其必然性，因为移动设备的形态有利于欺骗用户，因为我们很少在浏览器中看到完整的URL或重定向跳转。此外，我们已经习惯了相信如果浏览器中URL旁边有一个锁形图标，那么链接就是安全的。特别是在移动设备上，用户应该注意这一简单信号，仔细验证网站的域名，然后再输入敏感信息，”Vishnubhotla说。

针对移动设备的钓鱼攻击激增，凸显了对于能够实时检测和阻止复杂威胁的高级、AI驱动的安全解决方案的迫切需求，SlashNext的现场首席技术官Stephen Kowski说。“随着威胁行为者越来越多地利用像HTTPS这样的安全协议，传统的安全措施已不足以保护用户和组织。”

03

移动设备管理与密码管理可能会带来帮助

据专家介绍，移动设备管理 (MDM) 与密码管理工具的使用可以有效帮助防止移动设备钓鱼事件的发生。通过 MDM 解决方案，组织能够实施严格的安全策略、控制应用程序的权限，并确保所有设备都更新到最新的安全补丁，这有助于降低遭受网络钓鱼攻击的风险。

Tiquet强调道：“通过采用MDM（移动设备管理）解决方案，我们能够强制执行合规性要求，并根据设备的实际运行状况来限制数据访问权限，从而全面实现我们的移动安全策略。这一措施不仅仅是依赖于操作系统的定期更新。”他还指出：“强大的加密技术与自动化的补丁管理系统相结合，为设备提供了额外的保护层，进一步增强了安全性。”

同时，密码管理器负责创建并保存独一无二的密码，这样用户就不会在不同平台间重复使用同一账号信息了。这种做法可以避免成为网络钓鱼攻击的对象。

“强制实施多因素认证（MFA）为敏感数据增加了另一层保护，”Tiquet补充说。“密码管理器通过生成和存储强大且唯一的密码，并支持高级MFA方法，在这方面发挥着至关重要的作用。”