近期一項(xiàng)已經(jīng)影響了43個(gè)國家����、數(shù)千名受害者的“網(wǎng)絡(luò)釣魚即服務(wù)”操作服務(wù)被相關(guān)國際組織關(guān)停,同時(shí)相關(guān)國際組織亦指出:“網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)攻擊可能是無國界的����、虛擬的,但其對受害者的影響卻是真實(shí)和毀滅性的����。”
近期一項(xiàng)已經(jīng)影響了43個(gè)國家����、數(shù)千名受害者的“網(wǎng)絡(luò)釣魚即服務(wù)”操作服務(wù)被相關(guān)國際組織關(guān)停����,同時(shí)相關(guān)國際組織亦指出:“網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)攻擊可能是無國界的����、虛擬的,但其對受害者的影響卻是真實(shí)和毀滅性的����。”企業(yè)電子郵件破壞(Business Email Compromise����,簡稱BEC)是一種無惡意軟件插件的攻擊,它主要誘騙收件人轉(zhuǎn)移資金等����,據(jù)聯(lián)邦調(diào)查局稱,這種攻擊在世界范圍內(nèi)已造成相關(guān)受害者損失超過500億美元����。
據(jù)估計(jì),成功的網(wǎng)絡(luò)攻擊有90%都是源于電子郵件網(wǎng)絡(luò)釣魚����。如今能阻止網(wǎng)絡(luò)釣魚的辦法并不多。然而����,要有效防止攻擊”成功“,就一定要了解(并積極應(yīng)對)不斷變化的網(wǎng)絡(luò)釣魚趨勢����,這一點(diǎn)非常重要,其中包括攻擊者如何巧妙地利用目標(biāo)受害者對“已知”電子郵件發(fā)件人的信任����。為此,Cloudflare于本周發(fā)布了首份《網(wǎng)絡(luò)釣魚威脅報(bào)告》����。
本報(bào)告基于2022年5月至2023年5月的電子郵件安全數(shù)據(jù),探討了重要的網(wǎng)絡(luò)釣魚趨勢及相關(guān)建議����。在此期間,Cloudflare處理了約130億封電子郵件����,其中包括阻止了約2.5億封惡意郵件進(jìn)入客戶收件箱����。該報(bào)告還參考了由Cloudflare委托開展的對北美����、歐洲、中東和非洲地區(qū)以及亞太地區(qū)316位安全決策者進(jìn)行的調(diào)查(您可在此處單獨(dú)下載該研究調(diào)查報(bào)告)����。
查看完整的報(bào)告以了解幾項(xiàng)主要洞察:
·攻擊者使用欺騙性鏈接作為網(wǎng)絡(luò)釣魚的頭號(hào)手段以及他們?nèi)绾尾粩喔倪M(jìn)并引導(dǎo)您去點(diǎn)擊及何時(shí)利用鏈接作為“武器”進(jìn)行攻擊;
·身份欺騙有多種形式(包括企業(yè)電子郵件破壞(BEC)和品牌假冒)����,可輕易繞過電子郵件身份驗(yàn)證標(biāo)準(zhǔn);
·攻擊者假冒數(shù)以百計(jì)的組織����,但他們主要冒充我們信任(并需要與之合作)的實(shí)體。
在閱讀《2023網(wǎng)絡(luò)釣魚威脅報(bào)告》時(shí)����,還需注意以下幾點(diǎn):
電子郵件威脅分類
攻擊者通常會(huì)聯(lián)合使用社會(huì)工程學(xué)和技術(shù)混淆技巧來使其郵件看起來合法。因此����,Cloudflare使用許多先進(jìn)的檢測技術(shù)來分析“模糊”"信號(hào)(不僅僅是由肉眼可以看到的內(nèi)容)����,以識(shí)別不受歡迎的電子郵件����。這些信號(hào)包括:
·結(jié)構(gòu)分析����,包括頭部、正文內(nèi)容����、圖片、鏈接����、附件、負(fù)載����,利用啟發(fā)式算法和專門針對網(wǎng)絡(luò)釣魚信號(hào)而設(shè)計(jì)的機(jī)器學(xué)習(xí)模型;
·情緒分析����,檢測模式和行為的變化(例如����,寫作模式和表達(dá))����;
·信任圖譜,評估社交圖譜����、電子郵件發(fā)送歷史和潛在的合作伙伴假冒
我們的電子郵件安全服務(wù)還包含了來自Cloudflare全球網(wǎng)絡(luò)的威脅情報(bào),Cloudflare的全球網(wǎng)絡(luò)平均每天攔截1400億個(gè)網(wǎng)絡(luò)威脅����。
將這些與許多其他信號(hào)綜合在一起我們會(huì)將相關(guān)電子郵件處置為惡意、BEC����、欺騙或垃圾郵件;我們的儀表板會(huì)告訴客戶特定電子郵件處置的具體原因(即威脅指標(biāo)“類別”)����。
以下是我們在2022年5月2日至2023年5月2日期間觀察到的熱門電子郵件威脅指標(biāo)的快照。我們將威脅指標(biāo)分為30多個(gè)不同的類別����;在此期間����,最主要的威脅指標(biāo)有欺騙性鏈接����、域期限(新注冊的域名)、身份欺騙����、憑據(jù)收割和品牌假冒����。
以下是各熱門類別的簡要說明(更多詳情可見報(bào)告附錄)。
被攻擊的用戶進(jìn)行點(diǎn)擊后����,欺騙性鏈接將打開用戶默認(rèn)的Web瀏覽器并顯示鏈接中引用的數(shù)據(jù),或者直接打開一個(gè)應(yīng)用程序(如PDF)����。由于HTML中鏈接(即超文本)的顯示文本可以任意設(shè)置,攻擊者可以使URL看起來是指向一個(gè)良性網(wǎng)站����,而實(shí)際上卻是惡意網(wǎng)站����。
域期限與域名信譽(yù)有關(guān)����,域名信譽(yù)是分配給域名的總體分?jǐn)?shù)。例如����,域名注冊后立即發(fā)送大量新郵件的域名信譽(yù)往往較差,因此得分也較低����。
身份欺騙發(fā)生于攻擊者或懷有惡意的人發(fā)送一封聲稱自己是其他人的電子郵件。這種欺騙在機(jī)制和策略上各不相同����。一些策略包括:注冊看起來相似的域名(又稱域名假冒)、偽造或利用顯示名稱技巧����,使電子郵件看起來像來自可信的域名。其他變種包括使用域前置(domain fronting)和高信譽(yù)的Web服務(wù)平臺(tái)發(fā)送電子郵件����。
攻擊者設(shè)置憑據(jù)收割機(jī)����,欺騙用戶提供登錄憑據(jù)����。不知情的用戶可能會(huì)輸入他們的憑據(jù),最終為攻擊者提供自己賬戶的訪問權(quán)����。
品牌假冒是一種身份欺騙形式,攻擊者發(fā)送網(wǎng)絡(luò)釣魚信息����,冒充知名公司或品牌����。品牌假冒在實(shí)施過程中會(huì)利用各種各樣的手段。
電子郵件的附件����,在攻擊環(huán)境下打開或執(zhí)行時(shí),包含一個(gè)行動(dòng)號(hào)召(如引誘目標(biāo)去點(diǎn)擊鏈接)或執(zhí)行攻擊者設(shè)置的一系列行動(dòng)����。
Cloudflare經(jīng)常在一封網(wǎng)絡(luò)釣魚郵件中發(fā)現(xiàn)多個(gè)威脅指標(biāo)����。例如����,以硅谷銀行為主題的網(wǎng)絡(luò)釣魚活動(dòng)(詳見2023年3月的博客)結(jié)合了品牌假冒、欺騙性鏈接和惡意附件����。
攻擊者在以DocuSign為主題的模板中使用了SVB品牌。這封郵件包含了HTML代碼����,該代碼包含一個(gè)初始鏈接和一個(gè)復(fù)雜的重定向鏈,重定向鏈有四個(gè)深度����。攻擊中包含的HTML文件會(huì)將收件人發(fā)送到具有遞歸重定向功能的WordPress實(shí)例。
(說到鏈接����,欺騙性鏈接是威脅類別中的第一位,在我們35.6%的檢測結(jié)果中都有出現(xiàn)����。攻擊者不僅僅在電子郵件渠道中使用鏈接����;報(bào)告中還涵蓋了興起的多渠道網(wǎng)絡(luò)釣魚威脅����,這些威脅利用其他應(yīng)用程序,如短訊/短信����、聊天和社交媒體)。
值得信賴(和最易遭到假冒)的品牌
在2022年5月至2023年5月期間����,我們觀察到在針對Cloudflare客戶的電子郵件中約有1,000個(gè)不同的品牌遭到冒充,硅谷銀行只是其中之一����。(在2022年7月Cloudflare One產(chǎn)品套件擊潰的“Oktapus”網(wǎng)絡(luò)釣魚攻擊事件中����,Cloudflare的員工直接成為品牌假冒的攻擊目標(biāo))。
然而����,正如《網(wǎng)絡(luò)釣魚威脅報(bào)告》中所述����,我們發(fā)現(xiàn)攻擊者的電子郵件常常(51.7%的時(shí)間)假冒全球20大知名品牌之一����,其中微軟首當(dāng)其沖。
嘗試獲取微軟憑據(jù)的示例
今年初����,Cloudflare發(fā)現(xiàn)并阻止了一次利用微軟品牌的網(wǎng)絡(luò)釣魚活動(dòng),該活動(dòng)試圖通過一個(gè)合法但被入侵的網(wǎng)站獲取憑據(jù)����。
在下面的電子郵件示例中,盡管電子郵件呈現(xiàn)了文字����,但正文中卻沒有任何文本。整個(gè)正文是一個(gè)超鏈接的JPEG圖像����。因此,如果收件人點(diǎn)擊了正文中的任何地方(即使他們并不打算點(diǎn)擊鏈接)����,他們實(shí)際上就是在點(diǎn)擊鏈接����。
最初����,該圖片的超鏈接似乎是一個(gè)良性的百度URL-hxxp://www.baidu【.】com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是����,如果點(diǎn)擊此鏈接,目標(biāo)的瀏覽器就會(huì)被重定向到一個(gè)已被入侵并用于托管憑據(jù)收割機(jī)的網(wǎng)站����。
攻擊者使用了Microsoft Office 365品牌,但試圖通過在圖片中包含品牌信息來規(guī)避品牌檢測技術(shù)(即沒有可供檢查以識(shí)別該品牌的明文或HTML文本)����。
不過,Cloudflare使用光學(xué)字符識(shí)別(OCR)成功識(shí)別出了圖片中的“Office 365”和“Microsoft”����。我們還利用OCR識(shí)別了與密碼有關(guān)的可疑賬戶誘餌����。
在本例中����,攻擊者的技巧包括
·只包含JPEG圖像(沒有OCR就無法檢測到文字)
·在該圖片中嵌入一個(gè)超鏈接(點(diǎn)擊正文中的任何位置都將導(dǎo)致觸發(fā)該鏈接)
·超鏈接到百度URL(用于繞過基于信譽(yù)的URL檢測技術(shù))
·百度URL將收件人的瀏覽器重定向到一個(gè)憑據(jù)收割網(wǎng)站(即可以規(guī)避其他無法進(jìn)行深度鏈接檢查的電子郵件安全防御系統(tǒng))
·在已遭到攻擊者入侵的合法網(wǎng)站上托管憑據(jù)收割機(jī)(即使使用深度鏈接檢測����,也會(huì)再次嘗試?yán)@過基于信譽(yù)的URL檢測技術(shù))
這種攻擊手段利用了百度的高信譽(yù)和真實(shí)性,繞過了托管憑據(jù)收割機(jī)的真實(shí)主機(jī)/IP的信譽(yù)檢測����。
雖然此次特定活動(dòng)的重點(diǎn)是獲取微軟憑據(jù),但我們經(jīng)?���?吹焦粽呤褂妙愃品椒ɡ@過品牌檢測技術(shù),誘騙受害者下載惡意軟件和其他惡意有效負(fù)載����。
網(wǎng)絡(luò)釣魚活動(dòng)中經(jīng)常會(huì)出現(xiàn)URL重定向技術(shù),但威脅行為者會(huì)濫用越來越多的合法域名(如baidu.com����、bing.com、goo.gl等),從而不斷改進(jìn)其方法����。我們的多種檢測功能允許我們對使用各種重定向技術(shù)的URL(包括濫用合法域名的URL)進(jìn)行深度鏈接檢測。
基于SPF����、DKIM和DMARC電子郵件身份驗(yàn)證
電子郵件身份驗(yàn)證(特別是SPF、DKIM和DMARC標(biāo)準(zhǔn))是經(jīng)常提到的可以有效防止品牌假冒的手段:這些標(biāo)準(zhǔn)有助于驗(yàn)證服務(wù)器和租戶的來源����、保護(hù)信息完整性、提供策略執(zhí)行等����。
然而,攻擊者仍然可以找到繞過身份驗(yàn)證的方法來欺騙電子郵件套件����;實(shí)際上,我們發(fā)現(xiàn)89%不受歡迎的郵件“通過了”SPF����、DKIM和/或DMARC檢查。
電子郵件身份驗(yàn)證的一些局限性包括:
結(jié)論
攻擊者的戰(zhàn)術(shù)不斷更新變化����。在郵件到達(dá)收件箱之前、期間和之后����,必須實(shí)施多重保護(hù)。Cloudflare絕不會(huì)一成不變地“信任”任何類型的電子郵件通信(無論它看起來是內(nèi)部的����、外部的還是來自“已知”業(yè)務(wù)合作伙伴的)。
同樣����,我們認(rèn)為最重要的是所有組織都有必要將Zero Trust的“絕不信任,始終驗(yàn)證”的安全模式延伸到網(wǎng)絡(luò)和應(yīng)用程序����,同時(shí)也要擴(kuò)展到電子郵件收件箱。
除了使用Zero Trust方法確保電子郵件安全外����,我們還建議:
通過多種反釣魚措施來增強(qiáng)云電子郵件。正如在6月的Forrester博客中所述����,“跨多個(gè)設(shè)備使用消息傳遞����、協(xié)作����、文件共享和企業(yè)軟件即服務(wù)應(yīng)用程序都有助于提高員工的工作效率和體驗(yàn)。許多這樣的環(huán)境都被認(rèn)定為是‘封閉的‘����,但如果一個(gè)仿冒供應(yīng)鏈合作伙伴憑據(jù)的網(wǎng)絡(luò)釣魚攻擊成功,就會(huì)使貴組織面臨數(shù)據(jù)丟失����、憑據(jù)被盜、欺詐和勒索軟件攻擊����。為電子郵件收件箱開發(fā)的保護(hù)措施必須覆蓋到這些環(huán)境,并貫穿員工的日常工作流程����。”
采用防網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證(MFA)����。雖然并非所有多因素身份驗(yàn)證都能提供相同的安全層����,但硬件安全密鑰是防止網(wǎng)絡(luò)釣魚攻擊成功的最有效的身份驗(yàn)證方法之一����。即使攻擊者獲得了用戶名和密碼����,這些密鑰也能保護(hù)網(wǎng)絡(luò)安全。
更有效地規(guī)避因“誤操作”而導(dǎo)致的被攻擊事件����。讓員工和團(tuán)隊(duì)使用的工具更加安全,防止他們出錯(cuò)����,從而滿足他們的需求。例如����,遠(yuǎn)程瀏覽器隔離(RBI)技術(shù)與云電子郵件安全集成后,可以自動(dòng)隔離可疑的電子郵件鏈接����,防止用戶接觸到潛在的惡意Web內(nèi)容����。在不受信任的網(wǎng)站上����,鍵盤輸入也可以進(jìn)行禁用,以保護(hù)用戶避免在填寫表格時(shí)意外輸入敏感信息或憑據(jù)而遭到竊取����。這可以有效地允許用戶不用中斷他們的工作流程即可安全地打開鏈接,為抵御多渠道網(wǎng)絡(luò)釣魚攻擊提供了一層防御����。
我們保護(hù)整個(gè)企業(yè)網(wǎng)絡(luò),幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模應(yīng)用����,加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用,抵御DDoS攻擊����,阻止黑客,并為您的Zero Trust之旅提供協(xié)助����。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
