Har Phishers fler poler i vattnet?

Går phishing-attacker upp eller ner? Svaret beror på vem du frågar.

Phishing är utan tvekan ett stort problem på Internet, men vanliga statistiska rapporter från olika leverantörer lämnar en blandad bild. Leverantörer brukar samla in data på olika sätt och från olika källor, och det är svårt att hitta två rapporter som möjliggör en sann jämförelse.

MarkMonitor, ett San Francisco-företag som spårar domännamnmissbruk, släpptes en rapport som måndagen säger att antalet phishing-attacker nådde en rekordnivå för perioden april till juni.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

MarkMonitors resultat kommer strax efter två andra stora säkerhetsföretag, IBM och Symantec, konstaterade att phishing sjönk.

Så vilket företag har rätt? Det beror verkligen på vad som mäts.

MarkMonitor räknade mer än 150 000 phishing-attacker för andra kvartalet 2009, med en attack som definierades som en unik URL (enhetlig resurslokaliserare) som värd en phishing-webbplats. I ett phishing-försök skapar en cybercriminal en webbplats som ser legitim ut och folk lurar på att avslöja sina känsliga personliga eller finansiella detaljer.

MarkMonitor hittar ut om möjliga phishing-webbplatser från företag som Yahoo och AOL, som skickar misstänkta webbadresser som visas i e-post, sade Charlie Abrahams, vice vd för MarkMonitor för Europa, Mellanöstern och Afrika.

Företaget kontrollerar sedan manuellt dessa webbadresser för att säkerställa att de verkligen är phishing-webbplatser och vidtar åtgärder på uppdrag av sina kunder att få dessa platser stängs av, antingen genom att kontakta domännamnregistratorer eller internetleverantörer som är värd för dem.

IBM kom emellertid nyligen till en annan slutsats i sin X-Force-halvårsrapport för 2009, som släpptes i augusti. Företaget tittade på phishing-e-post som en procentandel av spam, en mycket annan åtgärd än MarkMonitor. Phishing-webbplatser främjas främst genom spam.

IBM konstaterade att phishing-e-postmeddelanden för första halvåret 2009 endast var 0,1 procent av skräppost, från 0,5 procent 2008. Företaget kom fram till att phishing faller.

"Nedgången i phishing och ökning inom andra områden (till exempel bank trojaner) indikerar att angripare kan flytta sina resurser till andra metoder för att få de vinster som phishing en gång uppnått," enligt IBMs rapport.

En rapport från Symantec som omfattade en månad, augusti i år, drog slutsatsen att phishing-attacker föll 45 procent under föregående månad, men det är inte klart i rapporten hur den här siffran beräknades. I en annan statistik noterade Symantec att det såg 4 procent färre phishing-webbadresser jämfört med juli.

MarkMonitors Abrahams sa att hans företag räknar antalet unika webbadresser. Det har potential att dramatiskt öka antalet MarkMonitor klassificerar som attacker. Till exempel använder brottslingar ofta ett enda värdnamn för en webbplats, men webbplatsen är faktiskt värd på många servrar på olika platser och byter servrar efter en kort tidsperiod, en metod som kallas snabb flöde.

Så en dålig webb webbplats kan vara värd på hundratals platser, varje räknas som en attack.

"Det finns många olika mätningar för phishing", sa Abrahams. "Vi tycker att antalet webbplatser är viktigare än antalet e-postmeddelanden."

Anti-Phishing Working Group (APWG), som består av privata företag och andra grupper, spårar unika e-postkampanjer. Om ämnesraden i hundratals e-postmeddelanden är densamma räknas den som en kampanj. När det gäller phishing-webbplatser räknar APWG den unika basadressen till en viss webbplats.

I sin rapport för de senaste sex månaderna 2008 sa APWG att antalet e-postkampanjer uppnådde i oktober vid 34 758. Dessa data sammanställdes från rapporter som lämnades av konsumenterna. Men siffran föll till 23 187 i december.

Unika phishing-webbplatser ökade från juli till oktober 2008 och slog högst 27.739. Men det var fortfarande färre än februari 2008 eller den massiva spetsen i april 2007 på 55 643, enligt APWG.