浏览器安全报告：网络钓鱼比率增长 1100%

移动端浏览器的作用在很多时候已经被特定的应用程序所替代，但在桌面端，浏览器依然扮演着非常重要的角色，是很多用户工作和生活中使用最为频繁的工具，也是很多 Web 应用与服务的入口。

浏览器安全平台 LayerX 日前发表了年度浏览器安全报告，让大家可以一窥浏览器以及互联网的安全状况，让用户可以有针对性地做出改变，提升安全性。

这份报告既包含了 2022 年最突出的浏览器安全风险，还包括对 2023 年的预测和建议。不过报告研究的重点是企业环境，但其中的一些关键点也同样适用于小型企业和家庭环境。

回顾 2022 年，LayerX 研究发现浏览器的主要安全问题可以分为 9 大类：

• 通过高信誉网站的钓鱼攻击
• 通过文件共享系统传播恶意软件
• 在企业环境中，使用个人浏览器配置导致泄露数据
• 使用版本过时的浏览器
• 薄弱的账号密码
• 易受攻击的非托管设备
• 高风险的浏览器扩展
• 影子 SaaS
• 用 AiTM 攻击绕过 MFA

以网络钓鱼为例，为了减轻网络钓鱼的风险，许多安全供应商通过确定 URL 的安全级别来过滤网站。这种网站安全检查是基于域名的信誉，它是由不同的指标计算出来的，如 URL 历史、IP 信誉、网站的受欢迎程度等等。如果一个网站足够可信，它就能通过检查。

只不过有越来越多的证据表明，网络钓鱼活动通过在合法和受信任的域名（如 Google、微软、AWS、GitHub 等）上托管钓鱼网站来欺骗 URL 过滤供应商。

根据研究，在 2021 年 6 月至 2022 年 6 月之间，在合法的 Saas 平台上托管的新发现的网络钓鱼 URL 的比率增加了 1100% 以上。

Layerx 还进行的一项实验中，测试了商业浏览器和网络安全工具对托管在高信誉域名上的 1-day 网络钓鱼网站的检测能力，结果发现表现最好的浏览器的捕获率仅为 36%（遗漏了大约三分之二的攻击），网络安全软件阻止了 48% 的威胁（遗漏了 50% 以上的攻击）。

在工作环境中使用个人配置会导致多种安全风险：

• Chrome 等浏览器会同步网站和应用程序的密码，这可能会意外地导致敏感的公司密码被同步到个人设备上。
• 文件上传到个人云和文件共享系统是一个主要的数据丢失风险，因为它可能暴露敏感的公司数据。
• 使用带有个人配置的公司应用程序可能导致公司数据泄漏，因为它增加了数据被意外或故意分享到公司以外的风险。

Laverx 对 500 个随机浏览器进行的分析发现，有 29% 的企业用户将浏览器连接到个人配置文件，与被检查的浏览器配置文件相连的 5.8% 的身份在数据泄露中被暴露，这使得涉及这些身份的凭证处于危险之中。

作为主要的工作工具和互联网接入的门户，浏览器自然是黑客普遍针对的攻击点。虽然报告的大部分内容是针对企业和大型商业环境的，但也适用于家庭用户和小型企业。

上述内容仅仅是报告的节选，完整报告共有 19 页，可点击链接下载。