正式發(fā)布：Cloudflare《2023年網絡釣魚威脅報告》

近期一項已經影響了43個國家、數千名受害者的“網絡釣魚即服務”操作服務被相關國際組織關停，同時相關國際組織亦指出：“網絡釣魚等網絡攻擊可能是無國界的、虛擬的，但其對受害者的影響卻是真實和毀滅性的。”企業(yè)電子郵件破壞（Business Email Compromise，簡稱BEC）是一種無惡意軟件插件的攻擊，它主要誘騙收件人轉移資金等，據聯(lián)邦調查局稱，這種攻擊在世界范圍內已造成相關受害者損失超過500億美元。

據估計，成功的網絡攻擊有90%都是源于電子郵件網絡釣魚。如今能阻止網絡釣魚的辦法并不多。然而，要有效防止攻擊”成功“，就一定要了解（并積極應對）不斷變化的網絡釣魚趨勢，這一點非常重要，其中包括攻擊者如何巧妙地利用目標受害者對“已知”電子郵件發(fā)件人的信任。為此，Cloudflare于本周發(fā)布了首份《網絡釣魚威脅報告》。

本報告基于2022年5月至2023年5月的電子郵件安全數據，探討了重要的網絡釣魚趨勢及相關建議。在此期間，Cloudflare處理了約130億封電子郵件，其中包括阻止了約2.5億封惡意郵件進入客戶收件箱。該報告還參考了由Cloudflare委托開展的對北美、歐洲、中東和非洲地區(qū)以及亞太地區(qū)316位安全決策者進行的調查（您可在此處單獨下載該研究調查報告）。

查看完整的報告以了解幾項主要洞察：

·攻擊者使用欺騙性鏈接作為網絡釣魚的頭號手段以及他們如何不斷改進并引導您去點擊及何時利用鏈接作為“武器”進行攻擊；

·身份欺騙有多種形式（包括企業(yè)電子郵件破壞(BEC)和品牌假冒），可輕易繞過電子郵件身份驗證標準；

·攻擊者假冒數以百計的組織，但他們主要冒充我們信任（并需要與之合作）的實體。

在閱讀《2023網絡釣魚威脅報告》時，還需注意以下幾點：

電子郵件威脅分類

攻擊者通常會聯(lián)合使用社會工程學和技術混淆技巧來使其郵件看起來合法。因此，Cloudflare使用許多先進的檢測技術來分析“模糊”"信號（不僅僅是由肉眼可以看到的內容），以識別不受歡迎的電子郵件。這些信號包括：

·結構分析，包括頭部、正文內容、圖片、鏈接、附件、負載，利用啟發(fā)式算法和專門針對網絡釣魚信號而設計的機器學習模型；

·情緒分析，檢測模式和行為的變化（例如，寫作模式和表達）；

·信任圖譜，評估社交圖譜、電子郵件發(fā)送歷史和潛在的合作伙伴假冒

我們的電子郵件安全服務還包含了來自Cloudflare全球網絡的威脅情報，Cloudflare的全球網絡平均每天攔截1400億個網絡威脅。

將這些與許多其他信號綜合在一起我們會將相關電子郵件處置為惡意、BEC、欺騙或垃圾郵件；我們的儀表板會告訴客戶特定電子郵件處置的具體原因（即威脅指標“類別”）。

以下是我們在2022年5月2日至2023年5月2日期間觀察到的熱門電子郵件威脅指標的快照。我們將威脅指標分為30多個不同的類別；在此期間，最主要的威脅指標有欺騙性鏈接、域期限（新注冊的域名）、身份欺騙、憑據收割和品牌假冒。

以下是各熱門類別的簡要說明（更多詳情可見報告附錄）。

被攻擊的用戶進行點擊后，欺騙性鏈接將打開用戶默認的Web瀏覽器并顯示鏈接中引用的數據，或者直接打開一個應用程序（如PDF）。由于HTML中鏈接（即超文本）的顯示文本可以任意設置，攻擊者可以使URL看起來是指向一個良性網站，而實際上卻是惡意網站。

域期限與域名信譽有關，域名信譽是分配給域名的總體分數。例如，域名注冊后立即發(fā)送大量新郵件的域名信譽往往較差，因此得分也較低。

身份欺騙發(fā)生于攻擊者或懷有惡意的人發(fā)送一封聲稱自己是其他人的電子郵件。這種欺騙在機制和策略上各不相同。一些策略包括：注冊看起來相似的域名（又稱域名假冒）、偽造或利用顯示名稱技巧，使電子郵件看起來像來自可信的域名。其他變種包括使用域前置(domain fronting)和高信譽的Web服務平臺發(fā)送電子郵件。

攻擊者設置憑據收割機，欺騙用戶提供登錄憑據。不知情的用戶可能會輸入他們的憑據，最終為攻擊者提供自己賬戶的訪問權。

品牌假冒是一種身份欺騙形式，攻擊者發(fā)送網絡釣魚信息，冒充知名公司或品牌。品牌假冒在實施過程中會利用各種各樣的手段。

電子郵件的附件，在攻擊環(huán)境下打開或執(zhí)行時，包含一個行動號召（如引誘目標去點擊鏈接）或執(zhí)行攻擊者設置的一系列行動。

Cloudflare經常在一封網絡釣魚郵件中發(fā)現(xiàn)多個威脅指標。例如，以硅谷銀行為主題的網絡釣魚活動（詳見2023年3月的博客）結合了品牌假冒、欺騙性鏈接和惡意附件。

攻擊者在以DocuSign為主題的模板中使用了SVB品牌。這封郵件包含了HTML代碼，該代碼包含一個初始鏈接和一個復雜的重定向鏈，重定向鏈有四個深度。攻擊中包含的HTML文件會將收件人發(fā)送到具有遞歸重定向功能的WordPress實例。

（說到鏈接，欺騙性鏈接是威脅類別中的第一位，在我們35.6%的檢測結果中都有出現(xiàn)。攻擊者不僅僅在電子郵件渠道中使用鏈接；報告中還涵蓋了興起的多渠道網絡釣魚威脅，這些威脅利用其他應用程序，如短訊/短信、聊天和社交媒體）。

值得信賴（和最易遭到假冒）的品牌

在2022年5月至2023年5月期間，我們觀察到在針對Cloudflare客戶的電子郵件中約有1,000個不同的品牌遭到冒充，硅谷銀行只是其中之一。（在2022年7月Cloudflare One產品套件擊潰的“Oktapus”網絡釣魚攻擊事件中，Cloudflare的員工直接成為品牌假冒的攻擊目標）。

然而，正如《網絡釣魚威脅報告》中所述，我們發(fā)現(xiàn)攻擊者的電子郵件常常（51.7%的時間）假冒全球20大知名品牌之一，其中微軟首當其沖。

嘗試獲取微軟憑據的示例

今年初，Cloudflare發(fā)現(xiàn)并阻止了一次利用微軟品牌的網絡釣魚活動，該活動試圖通過一個合法但被入侵的網站獲取憑據。

在下面的電子郵件示例中，盡管電子郵件呈現(xiàn)了文字，但正文中卻沒有任何文本。整個正文是一個超鏈接的JPEG圖像。因此，如果收件人點擊了正文中的任何地方（即使他們并不打算點擊鏈接），他們實際上就是在點擊鏈接。

最初，該圖片的超鏈接似乎是一個良性的百度URL-hxxp://www.baidu【.】com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是，如果點擊此鏈接，目標的瀏覽器就會被重定向到一個已被入侵并用于托管憑據收割機的網站。

攻擊者使用了Microsoft Office 365品牌，但試圖通過在圖片中包含品牌信息來規(guī)避品牌檢測技術（即沒有可供檢查以識別該品牌的明文或HTML文本）。

不過，Cloudflare使用光學字符識別(OCR)成功識別出了圖片中的“Office 365”和“Microsoft”。我們還利用OCR識別了與密碼有關的可疑賬戶誘餌。

在本例中，攻擊者的技巧包括

·只包含JPEG圖像（沒有OCR就無法檢測到文字）

·在該圖片中嵌入一個超鏈接（點擊正文中的任何位置都將導致觸發(fā)該鏈接）

·超鏈接到百度URL（用于繞過基于信譽的URL檢測技術）

·百度URL將收件人的瀏覽器重定向到一個憑據收割網站（即可以規(guī)避其他無法進行深度鏈接檢查的電子郵件安全防御系統(tǒng)）

·在已遭到攻擊者入侵的合法網站上托管憑據收割機（即使使用深度鏈接檢測，也會再次嘗試繞過基于信譽的URL檢測技術）

這種攻擊手段利用了百度的高信譽和真實性，繞過了托管憑據收割機的真實主機/IP的信譽檢測。

雖然此次特定活動的重點是獲取微軟憑據，但我們經?？吹焦粽呤褂妙愃品椒ɡ@過品牌檢測技術，誘騙受害者下載惡意軟件和其他惡意有效負載。

網絡釣魚活動中經常會出現(xiàn)URL重定向技術，但威脅行為者會濫用越來越多的合法域名（如baidu.com、bing.com、goo.gl等），從而不斷改進其方法。我們的多種檢測功能允許我們對使用各種重定向技術的URL（包括濫用合法域名的URL）進行深度鏈接檢測。

基于SPF、DKIM和DMARC電子郵件身份驗證

電子郵件身份驗證（特別是SPF、DKIM和DMARC標準）是經常提到的可以有效防止品牌假冒的手段：這些標準有助于驗證服務器和租戶的來源、保護信息完整性、提供策略執(zhí)行等。

然而，攻擊者仍然可以找到繞過身份驗證的方法來欺騙電子郵件套件；實際上，我們發(fā)現(xiàn)89%不受歡迎的郵件“通過了”SPF、DKIM和/或DMARC檢查。

電子郵件身份驗證的一些局限性包括：

結論

攻擊者的戰(zhàn)術不斷更新變化。在郵件到達收件箱之前、期間和之后，必須實施多重保護。Cloudflare絕不會一成不變地“信任”任何類型的電子郵件通信（無論它看起來是內部的、外部的還是來自“已知”業(yè)務合作伙伴的）。

同樣，我們認為最重要的是所有組織都有必要將Zero Trust的“絕不信任，始終驗證”的安全模式延伸到網絡和應用程序，同時也要擴展到電子郵件收件箱。

除了使用Zero Trust方法確保電子郵件安全外，我們還建議：

通過多種反釣魚措施來增強云電子郵件。正如在6月的Forrester博客中所述，“跨多個設備使用消息傳遞、協(xié)作、文件共享和企業(yè)軟件即服務應用程序都有助于提高員工的工作效率和體驗。許多這樣的環(huán)境都被認定為是‘封閉的‘，但如果一個仿冒供應鏈合作伙伴憑據的網絡釣魚攻擊成功，就會使貴組織面臨數據丟失、憑據被盜、欺詐和勒索軟件攻擊。為電子郵件收件箱開發(fā)的保護措施必須覆蓋到這些環(huán)境，并貫穿員工的日常工作流程?！?/p>

采用防網絡釣魚的多因素身份驗證(MFA)。雖然并非所有多因素身份驗證都能提供相同的安全層，但硬件安全密鑰是防止網絡釣魚攻擊成功的最有效的身份驗證方法之一。即使攻擊者獲得了用戶名和密碼，這些密鑰也能保護網絡安全。

更有效地規(guī)避因“誤操作”而導致的被攻擊事件。讓員工和團隊使用的工具更加安全，防止他們出錯，從而滿足他們的需求。例如，遠程瀏覽器隔離(RBI)技術與云電子郵件安全集成后，可以自動隔離可疑的電子郵件鏈接，防止用戶接觸到潛在的惡意Web內容。在不受信任的網站上，鍵盤輸入也可以進行禁用，以保護用戶避免在填寫表格時意外輸入敏感信息或憑據而遭到竊取。這可以有效地允許用戶不用中斷他們的工作流程即可安全地打開鏈接，為抵御多渠道網絡釣魚攻擊提供了一層防御。

我們保護整個企業(yè)網絡，幫助客戶高效構建互聯(lián)網規(guī)模應用，加速任何網站或互聯(lián)網應用，抵御DDoS攻擊，阻止黑客，并為您的Zero Trust之旅提供協(xié)助。