作者 | 天地和兴工业网络安全研究院
编者按:网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。当然,企业更是一个特别值得关注的目标。根据Verizon Enterprise的2020年数据泄露调查报告,网络钓鱼是安全事件中第二大威胁类型,也是数据泄露中最大的威胁类型。网络钓鱼攻击继续在数字威胁格局中占据主导地位。
网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉恶意攻击者用来实施这些骗局的一些最常见的技术类型。
为此,我们将讨论六种最常见的网络钓鱼攻击类型,并提供组织如何保护自己的相关建议。
一、欺骗性网络钓鱼
欺骗性网络钓鱼是迄今为止最常见的网络钓鱼诈骗类型。在这一策略中,诈骗者冒充合法公司,试图窃取人们的个人数据或登录凭据。这些电子邮件经常使用威胁和紧迫感来吓唬用户,让他们按照攻击者的要求行事。
1、欺骗性网络钓鱼中使用的技术
Vade Secure强调了欺骗性网络钓鱼攻击中使用的一些最常见的技术:
● 合法链接:许多攻击者试图通过将合法链接合并到欺骗性的网络钓鱼电子邮件中来逃避电子邮件过滤器的检测。他们可以通过包含他们可能欺骗的组织的合法联系信息来做到这一点。
● 混合恶意代码和良性代码:负责创建仿冒网站登录页的人通常将恶意代码和良性代码混合在一起,以欺骗ExchangeOnline Protection(EOP)。这可能采取复制科技巨头登录页面的CSS和JavaScript的形式,以窃取用户的账户凭证。
● 重定向和缩短链接:恶意行为体不想向受害者发出任何危险信号。因此,他们精心策划了网络钓鱼活动,使用缩短的网址作为欺骗安全电子邮件网关(SEG)的手段,“时间炸弹”是一种手段,将用户重定向到网络钓鱼登录页面,只有在电子邮件发送完毕后,才将用户重定向到合法网页上,而受害者则被吊销了他们的证书。
修改品牌标识:一些电子邮件过滤器可以发现恶意行为人窃取组织的标识,并将其纳入其攻击电子邮件或网络钓鱼登录页面。他们通过寻找logo的HTML属性来做到这一点。为了愚弄这些检测工具,恶意的参与者会更改徽标的HTML属性,例如其颜色。
● 最少的电子邮件内容:数字攻击者试图通过在其攻击电子邮件中包含最少的内容来逃避检测。例如,他们可以选择包含图像而不是文本来实现这一点。
2、欺诈性网络钓鱼攻击实例
例如,PayPal诈骗者可能会发出一封攻击性电子邮件,指示收件人点击一个链接,以纠正他们账户的不一致之处。实际上,该链接重定向到一个旨在模仿PayPal登录页面的网站。当受害者试图验证自己的身份时,该网站会从受害者那里收集登录凭据,并将数据发送给攻击者。
近年来,我们也看到这类活动登上了头条。例如,2020年9月初,PR Newswire在Retarus分享了CERT的研究,警告组织要警惕冒充合同伙伴的攻击者。这些恶意行为者发出网络钓鱼电子邮件,敦促组织通过下载附件来更新其业务合作伙伴合同。为了增加攻击的合法性,恶意攻击者让文档看起来像是托管在行业领先的交易系统Dotloop上。但点击文档只是将受害者重定向到一个假的微软登录页面。
不到一个月后,Cofense的研究人员发现了一场假装来自安全意识培训提供商的电子邮件活动。该行动的攻击电子邮件警告收件人,他们只剩下一天时间通过点击网址完成所需的训练。一旦受害者同意了,他们就会把他们送到一个网络钓鱼工具包里,该工具包使用一个托管在俄罗斯域名上的假OWA登录页面来窃取受害者的微软凭据。
3、如何防范欺骗性网络钓鱼
欺诈性网络钓鱼的成功与否取决于该攻击电子邮件与被滥用公司的官方信件有多相似。因此,用户应该仔细检查所有的网址,看看他们是否重定向到一个未知和/或可疑的网站。他们还应该注意散布在电子邮件中的通用称呼、语法错误和拼写错误。
二、鱼叉式网络钓鱼
并不是所有的网络钓鱼骗局都采用“spray and pray”技术。一些诡计更多地依赖于个人接触。
在这种类型的策略中,诈骗者使用目标的姓名、职位、公司、工作电话号码和其他信息定制攻击电子邮件,试图欺骗收件人相信他们与发件人有联系。然而,其目标与欺骗性网络钓鱼是相同的:诱骗受害者点击恶意的URL或电子邮件附件,以便他们交出自己的个人数据。考虑到策划一次令人信服的攻击企图所需的信息量,鱼叉式钓鱼在LinkedIn等社交媒体网站上司空见惯也就不足为奇了,在这些网站上,攻击者可以使用多个数据源来编制一封有针对性的攻击电子邮件。
1、鱼叉式网络钓鱼中使用的技术
以下是鱼叉式网络钓鱼攻击中使用的一些最常用的技术:
● 在云服务上存放恶意文档:CSO Online报告称,越来越多的数字攻击者将其恶意文档存放在Dropbox、Box、GoogleDrive和其他云服务上。默认情况下,IT不太可能屏蔽这些服务,这意味着该组织的电子邮件过滤器不会标记武器化的文档。。
● 破解令牌:security news platform还指出,数字罪犯正试图危害API令牌或会话令牌。在这方面的成功将使他们能够窃取电子邮件帐户、SharePoint网站或其他资源的访问权限。
● 收集办公室外通知:攻击者需要大量的情报,才能发出令人信服的鱼叉式网络钓鱼攻击。根据Trend Micro的说法,他们可以通过向员工群发电子邮件和收集外出通知来了解内部员工使用的电子邮件地址格式。
● 探索社交媒体:恶意行为者需要知道谁在目标公司工作。他们可以通过使用社交媒体来调查组织的结构,并决定挑选谁来实施他们的目标攻击。
2、鱼叉式网络钓鱼攻击示例
2020年9月初,Proofpoint透露,它检测到了两次涉及中国APT集团TA413的鱼叉式网络钓鱼攻击。第一次发生在3月份,目标是与经济事务相关的欧洲政府实体、非营利研究组织和全球公司,诱使接受者打开世卫组织的“针对COVID-19的关键准备、准备和应对行动,临时指导”文件。第二次以西藏异见人士为目标,发布了题为“携带枪支并会说中文的致命病毒袭击藏人”的PowerPoint演示文稿。两家公司都提供了名为“Sepulcher”的新infostealer家族的有效载荷。
不到一周后,Armorblox解释说,它遇到了针对2019年世界50强创新公司之一的钓鱼攻击企图。这封攻击邮件使用了欺骗技术,让收件人误以为邮件中含有一份内部财务报告。该活动的附件随后将收件人重定向到一个虚假的Office 365登录页面,该页面显示了他们预先输入的用户名,从而进一步伪装门户是公司内部资源。
3、如何防范鱼叉式网络钓鱼
为了防止这种类型的骗局,组织应该进行持续的员工安全意识培训,包括防止用户在社交媒体上发布敏感的个人或公司信息。公司还应该投资于分析入站电子邮件已知的恶意链接和电子邮件附件的解决方案。这个解决方案应该能够识别已知的恶意软件和零日威胁的指标。
三、CEO欺诈
鱼叉钓鱼者可以瞄准组织中的任何人,甚至高管。这就是“捕鲸”攻击背后的逻辑。在这些骗局中,欺诈者试图鱼叉攻击高管和窃取他们的登录信息。
一旦他们的攻击被证明是成功的,欺诈者可以选择对CEO进行欺诈。作为商业电子邮件入侵(BEC)骗局的第二阶段,CEO欺诈是指攻击者滥用被入侵的首席执行官或其他高级管理人员的电子邮件帐户,授权欺诈电汇到他们选择的金融机构。或者,他们可以利用同一个电子邮件账户进行W-2网络钓鱼,要求所有员工提供W-2信息,以便他们可以代表自己提交虚假的纳税申报单或将数据发布到暗网上。
1、捕鲸技术
捕鲸攻击通常使用与鱼叉式网络钓鱼相同的技术。也有一些额外的战术,恶意攻击者可以使用:
渗透网络:被入侵的高管账户比被欺骗的电子邮件账户更有效。正如Varonis所指出的,数字攻击者因此可以使用恶意软件和rootkit来渗透他们目标的网络。
电话跟进:英国国家网络安全中心(NCSC)了解到几个例子,攻击者在一封捕鲸电子邮件之后,通过电话确认了邮件请求。这种社会工程策略有助于减轻目标对可能发生可疑事件的担忧。
追踪供应链:NCSC见证了越来越多的恶意行为者利用目标供应商和供应商的信息,让他们的捕鲸电子邮件看起来像是来自值得信任的合作伙伴。
2、捕鲸攻击案例
早在2016年5月,Infosecurity杂志报道了奥地利航空制造商FACC解雇其CEO的决定。该组织的监事会表示,之所以做出这一决定,是因为前CEO“严重违反了职责,特别是与‘假总统事件’有关的”。那起事件似乎是一起捕鲸攻击,恶意行为者从该公司窃取了5000万欧元。
三年多后,立陶宛人Evaldas Rimasoskas因从两家美国大公司盗取1.22亿美元而被判处五年有期徒刑。据Naked Security 2019年12月的报道,Rimasauskas在2013年和2015年以一家合法的台湾公司名义发出假发票,对两家公司发动了捕鲸攻击。
3、如何抵御捕鲸
捕鲸攻击之所以奏效,是因为高管们通常不与员工一起参加安全意识培训。为了应对CEO欺诈和W-2网络钓鱼的威胁,组织应该要求所有公司人员——包括高管不断参加安全意识培训。
组织还应该考虑在其财务授权过程中引入多因素认证(MFA)通道,这样任何人都不能仅通过电子邮件授权付款。
四、Vishing
到目前为止,已经讨论了大部分仅依靠电子邮件作为通信手段的攻击。电子邮件无疑是网络钓鱼者的流行工具。即便如此,行骗者有时也会转向其他媒体来实施攻击。
以钓鱼为例。这种攻击无需发送电子邮件,而是通过打电话进行攻击。正如Comparitech所指出的,攻击者可以通过建立一个VoIP服务器来模拟不同的实体来实施钓鱼活动,从而窃取敏感数据或资金。
1、VISTING中使用的技术
以下是恶意攻击中使用的一些常用技术:
“The mumbletechniqu”:数字攻击者通常会采用独特的战术去追踪特定的目标。据Social-Engineer.LLC报道,当恶意行为者试图以客户服务代表或呼叫中心座席为目标时,他们可能会使用所谓的“the mumble technique”来含糊地回答问题,希望他们的“回答”就足够了。
技术术语:Social-Engineer.LLC指出如果恶意参与者的目标是一个公司的员工,他们可能会冒充内部技术支持,使用技术术语,暗示速度问题和落款等问题,以说服员工相信他们交出信息。
身份欺骗:通过这种策略,恶意行为者伪装他们的电话号码,使他们的电话看起来像是从目标的区号中的合法电话号码打来的。Twinstate指出,这种技术可能会使目标产生一种错误的安全感。
2、恶意攻击实例
2020年9月中旬,医疗保健组织SpectrumHealth System发布了一份声明,警告患者和优先健康成员警惕病毒攻击。这一警告表明,那些应对攻击负责的人伪装成Spectrum Health或Priority Health的员工。他们利用这种伪装,试图迫使个人交出他们的信息、资金或账户访问权限。
不到两周后,WFXRtw.com上出现了一篇报道,蒙哥马利县官员在报道中警告弗吉尼亚州社区的居民要小心涉及社保号码的诈骗。该报告特别强调了进行恶意攻击的欺诈者激增,他们通知居民,他们的社保号码被暂停,除非他们核实了自己的数据,否则他们的银行账户将被没收。
3、如何防范网络钓鱼
为了防止网络钓鱼攻击,用户应避免接听未知电话号码的电话,绝不在电话上透露个人信息,并使用来电显示应用程序。
五、钓鱼短信
Vishing并不是数字欺诈者使用手机进行的唯一类型的网络钓鱼。他们也可以进行被称为smishing的行为,这种方法利用恶意短信诱使用户点击恶意链接或交出个人信息。
1、Smishing所使用的技术
触发恶意应用程序下载:攻击者可以使用恶意链接在受害者的移动设备上自动下载恶意应用程序。这些应用可以部署勒索软件,或者让参与者远程控制他们的设备。
链接到数据窃取表单:攻击者可以利用文本消息和欺骗性网络钓鱼技术欺骗用户点击恶意链接。然后将他们重定向到一个旨在窃取他们个人信息的网站。
指示用户联系技术支持:使用这种类型的攻击策略,恶意参与者发送文本消息,指示收件人联系一个客户支持号码。然后,骗子将伪装成合法的客户服务代表,并试图诱骗受害人交出个人资料。
2、Smishing攻击示例
9月中旬,一场以美国邮局(USPS)为诱饵的钓鱼活动浮出水面。该行动的攻击短信通知收件人,他们需要查看一些关于即将到来的USPS交付的重要信息。点击这个链接,他们就会到达不同的地点,其中包括一个假的赌场游戏,以及一个用来盗取访客谷歌账户凭证的网站。
不久之后,Naked Security发布了一份关于针对苹果粉丝的网络钓鱼活动的报告。这些短信看起来像是打错了号码,他们用一个假冒的苹果聊天机器人通知收件人,他们赢得了参加苹果2020年测试计划的机会,并测试了新款iPhone 12。这场运动最终要求受害者支付送货费。实际上,该操作只是使用一个伪造的门户网站来窃取受害者的支付卡凭据。
3、如何防止Smishing
用户可以通过彻底调查未知的电话号码,并在有任何疑问的情况下致电邮件中指定的公司,来帮助抵御攻击。
六、Pharming
随着用户对传统网络钓鱼诈骗越来越明智,一些欺诈者正在完全放弃“诱饵”受害者的想法。取而代之的是,采用欺骗手段。
1、Pharming技术
恶意电子邮件代码:在这种欺骗攻击的变体中,恶意参与者发送的电子邮件包含修改收件人计算机上主机文件的恶意代码。这些修改后的主机文件会将所有url重定向到攻击者控制下的网站,以便安装恶意软件或窃取受害者的信息。
针对DNS服务器:恶意参与者可能会选择跳过针对单个用户的计算机,直接攻击DNS服务器。这可能会危及数百万网络用户的URL请求。
2、Pharming攻击实例
早在2014年,Cymru团队就透露,他们在2013年12月发现了一起骗术攻击。这一行动影响了总部设在欧洲和亚洲的30多万小型企业和家庭办公室路由器。最终,该活动使用中间人(MitM)攻击来覆盖受害者的DNS设置,并将URL请求重定向到攻击者控制下的站点。
一年后,Proofpoint透露,它发现了一场主要针对巴西用户的钓鱼活动。这次行动使用了嵌入在钓鱼电子邮件中的四个不同的URL来攻击UT Starcom和TP-Link路由器的所有者。每当收件人单击其中一个URL时,该活动就会将其发送到一个网站,该网站旨在对目标路由器中的漏洞执行跨站点请求伪造(CSRF)攻击。成功利用该漏洞可使恶意攻击者执行MITM攻击。
3、如何防御Pharming
为了防止恶意攻击,组织应该鼓励员工仅在受HTTPS保护的站点上输入登录凭据。还应该在所有公司设备上部署防病毒软件,并定期更新病毒数据库。最后,应该掌握由可信的互联网服务提供商(ISP)发布的安全升级。
通过参考这些vfyy,组织将能够更快地发现一些最常见的网络钓鱼攻击类型。即便如此,这并不意味着他们能够发现每一个钓鱼网络。网络钓鱼正在采用新的形式和技术不断演变。
考虑到这一点,组织必须持续进行安全意识培训,以便他们的员工和高管能够掌握网络钓鱼的发展。
参考资料:
[1]https://www.tripwire.com/state-of-security/security-awareness/6-common-phishing-attacks-and-how-to-protect-against-them/
[2]https://securitytoday.com/Articles/2019/09/09/5-Common-Phishing-Attacks-and-How-To-Protect-Yourself-Against-Them.aspx?Page=2
[3]https://terranovasecurity.com/top-examples-of-phishing-emails/
转载请注明来自:关键基础设施安全应急响应中心
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。