研究：網釣即服務超好賺，投資報酬率近12倍

根據資安業者Imperva發表的一份駭客研究報告發現 ，有駭客在暗網上提供網路釣魚代管服務(Phishing-as-a-Service, PhaaS)，可讓攻擊的投資報酬率達到11.97倍，遠較自行攻擊的1.6倍為高。 

Imperva引用在暗網上發現的網釣即服務廣告，加上分析該服務成功率，以及透過網釣竊得的用戶帳號密碼在黑市的價值等資料，分析發現，訂閱網釣即服務的單月非折扣會員價只要4.2美元，加上需要約半個小時、價值約7.5美元的初始設定人工成本，執行一個月、達成有效攻擊14天、每天騙得1000筆帳密的網釣攻擊，可以創造140美元的投資回報，而要達到同樣回報水準的自行攻擊，則要花費27.65美元的攻擊工具費用與60美元的人力成本，投資報酬率雖遠低於PhaaS服務，但1.6倍也勝過許多一般企業。 

Imperva表示，PhaaS的出現，讓有意發動網釣攻擊的駭客有了更低成本的選擇，並且勢必會導致網釣攻擊事件與受害者的增加。 

該公司研究人員還發現，網釣攻擊受害者點擊誘餌連結的高峰時間，是平日早上9點至中午的工作時間，有高達35%的成功攻擊發生在此時段，顯示企業員工在忙於工作與回覆郵件時，心防特別低，此外，相較於釣魚網站，要求使用者輸入帳號密碼的釣魚文件，如經特別設計的PDF檔案，更容易騙取使用者信任，為了開啟檔案而大意輸入了帳號密碼。