在網(wǎng)絡(luò)釣魚攻擊中被仿冒最多的50個品牌，以及可以有效保護(hù)員工免受此類釣魚攻擊的新工具

組織的員工有可能剛剛在錯誤的網(wǎng)站上提交了某個內(nèi)部系統(tǒng)的管理員用戶名和密碼。這樣一來，攻擊者就能夠竊取敏感數(shù)據(jù)了。

這一切是怎么發(fā)生的？

一封精心制作的電子郵件。

檢測、阻止和緩解釣魚攻擊的風(fēng)險可以說是任何安全團(tuán)隊經(jīng)常面臨的最困難挑戰(zhàn)之一。

從今天開始，我們的安全中心儀表板將開放全新品牌保護(hù)和防網(wǎng)絡(luò)釣魚工具的測試版，旨在針對組織的網(wǎng)絡(luò)釣魚活動發(fā)生之前進(jìn)行捕捉和緩解。

網(wǎng)絡(luò)釣魚攻擊的挑戰(zhàn)

網(wǎng)絡(luò)釣魚攻擊也許是過去幾個月內(nèi)最廣為人知的威脅手段。這些攻擊非常復(fù)雜，難以察覺，越來越頻繁，可能會給受到攻擊的企業(yè)帶來毀滅性的后果。

防止網(wǎng)絡(luò)釣魚攻擊的最大挑戰(zhàn)之一是龐大的數(shù)量，而且難以區(qū)分合法和欺詐性的電子郵件和網(wǎng)站。攻擊者制作的釣魚郵件和網(wǎng)站幾乎可以以假亂真，即使用戶保持警惕，也不一定能夠發(fā)現(xiàn)。

例如，去年7月，我們使用Cloudflare One產(chǎn)品套件和物理安全密鑰挫敗了一次針對Cloudflare員工的復(fù)雜“Oktapus”攻擊。這次“Oktapus”攻擊成功入侵了100多家公司，其攻擊者將“cloudflare-okta.com”發(fā)送給我們的員工前40分鐘才注冊該域名。

當(dāng)時，我們的安全域名產(chǎn)品發(fā)現(xiàn)了這些釣魚域名——但是，在收到用于監(jiān)測的新注冊域名列表前存在一定延遲。今天，通過流式傳送Cloudflare 1.1.1.1解析器(及其他解析器)解析的新域名，我們能夠幾乎即時檢測到釣魚域名。這讓我們?nèi)〉昧讼葯C(jī)，從而能夠在網(wǎng)絡(luò)釣魚企圖發(fā)生之前予以阻止。

我們希望將內(nèi)部使用的同一工具提供給客戶，以幫助客戶應(yīng)對當(dāng)前挑戰(zhàn)。

Cloudflare安全中心全新推出的品牌保護(hù)和防釣魚工具

我們正在將通過自動識別并屏蔽所謂的“易混淆”域名這一功能擴(kuò)展到為Cloudflare One客戶提供的防釣魚保護(hù)方案之中。攻擊者往往會注冊帶有常見錯誤拼寫(cloudfalre.com)和服務(wù)連接(cloudflare-okta.com)這類容易讓人混淆的域名，藉此來欺騙毫無防備的受害者提交密碼等隱私信息。Cloudflare推出的一系列新工具將可以為用戶提供額外的一層保護(hù)來防范這些欺詐企圖。

全新推出的品牌保護(hù)和釣魚防護(hù)工具位于Cloudflare安全中心，向客戶提供更多可控制選項(例如自定義監(jiān)控字符串，可搜索的歷史域名列表，等)。Cloudflare One計劃可使用該工具，其控制、可見性和自動化級別會因所選計劃類型而有所不同。

全新域名品牌匹配和警報

全新品牌保護(hù)功能的核心是我們檢測專門為釣魚合法品牌而創(chuàng)建的主機(jī)名這一能力。首先，通過篩查每日對Cloudflare公共DNS解析器1.1.1.1發(fā)出的數(shù)萬億DNS查詢，我們監(jiān)測某個域或子域的首次使用，從而編制一個首次使用的主機(jī)名列表。

通過使用這個列表，我們根據(jù)用戶的已保存模式實時執(zhí)行“模糊”匹配(一種技術(shù)，用于匹配兩個意義或拼寫相似的字符串)。我們比較字符串，并根據(jù)各種因素(例如讀音、距離、子字符串匹配)計算相似度分?jǐn)?shù)。通過這些已保存的模式(可能是帶有編輯距離的字符串)，我們的系統(tǒng)能夠在檢測到與列表中任何域的匹配時生成警報。

雖然我們的用戶目前必須創(chuàng)建和保存這些查詢，但我們將在日后引入一個自動匹配系統(tǒng)。該系統(tǒng)將簡化為用戶進(jìn)行匹配檢測的過程，但自定義字符串仍可用于安全團(tuán)隊跟蹤更復(fù)雜的模式。

歷史搜索

除了實時監(jiān)控，我們還提供了歷史搜索(已保存的查詢)和對過去30天內(nèi)新發(fā)現(xiàn)域的警報。當(dāng)創(chuàng)建一個新模式時，我們將列出最近30天的搜索結(jié)果，以顯示任何潛在的匹配。這允許安全團(tuán)隊快速評估新域的潛在威脅級別并采取必要的行動。

此外，這種搜索機(jī)制還可以用于專門的域搜索，為可能需要調(diào)查特定域或模式的安全團(tuán)隊提供了額外的靈活性。

全網(wǎng)觀察：遭到最多釣魚攻擊的品牌

在構(gòu)建這些全新品牌保護(hù)工具時，我們想通過以下經(jīng)常遭到釣魚攻擊的品牌對我們的新工具進(jìn)行能力測試。為此，我們仔細(xì)查看了包含釣魚URL的域名在我們的1.1.1.1解析器上被解析的頻率。所有用于共享服務(wù)(例如托管網(wǎng)站谷歌、Amazon、GoDaddy)，無法被驗證為釣魚企圖的域名，都被從數(shù)據(jù)集中刪除。

下表列出了我們發(fā)現(xiàn)的前50個品牌，以及最常被用于對這些品牌進(jìn)行釣魚的域名之一。

【1】釣魚站點往往通過特定的URL而不是根域名提供服務(wù)，例如，hxxp://example.com/login.html而不是hxxp://example.com/。這里沒有提供完整的URL。

將威脅情報監(jiān)測能力與Zero Trust的實施部署相結(jié)合

對于使用我們Zero Trust產(chǎn)品套件的客戶來說，這一新功能變得更加有效。事實上，只要通過創(chuàng)建Cloudflare Gateway或DNS策略規(guī)則檢測到易混淆的域名，您就可以輕松阻止它們。這將立即阻止您的用戶解析或瀏覽潛在的惡意站點，從而挫敗攻擊。

持續(xù)的優(yōu)化與迭代

Cloudflare將會為用戶帶來更豐富的品牌保護(hù)和防釣魚安全產(chǎn)品組合，而上述的新功能僅僅是一個開始。

匹配SSL/TLS證書

除了與域進(jìn)行匹配之外，我們還計劃與記錄在我們的Certificate Transparency(CT)日志——Nimbus中的新SSL/TLS證書進(jìn)行匹配。通過分析CT日志，我們可以識別可能用于釣魚攻擊的潛在欺詐證書。這是有幫助的，因為證書通常是在域名注冊后不久創(chuàng)建的，試圖通過支持HTTPS為釣魚網(wǎng)站提供更多合法性。

托管列表的自動填充

雖然現(xiàn)在客戶可以通過腳本更新Zero Trust阻止規(guī)則中引用的自定義列表，但正如上面提到的，我們計劃自動將域添加到動態(tài)更新的列表。此外，我們將自動將匹配的域添加到可以在Zero Trust規(guī)則中使用的列表中，例如：從Gateway阻止。

域所有權(quán)和其他元數(shù)據(jù)的變化

最后，我們計劃提供監(jiān)視域所有權(quán)或其他元數(shù)據(jù)(如注冊者、名稱服務(wù)器或解析的IP地址)變化的能力。這將使客戶能夠跟蹤與他們的域相關(guān)的關(guān)鍵信息的變化，并在必要時采取適當(dāng)?shù)男袆印?/p>

立即開始

如果您是Enterprise客戶，歡迎立刻注冊品牌保護(hù)的測試版，獲得對自有域名的專門掃描，保存查詢并為匹配域名設(shè)置警報。