近年來釣魚郵件攻擊者開始利用人們的心理�,利用人們廣泛關注的熱點事件傳播釣魚郵件���。社會熱點事件�、節假日���、六一八購物狂歡���、雙十一血拼,這些時間點,是釣魚郵件傳播的高峰期。據相關統計顯示���,2019年全國企業郵箱用戶共收到各類釣魚郵件約344.3億封���。面對如此龐大的釣魚郵件數量�,企業用戶一不小心便會掉進黑客的郵件圈套。
網絡釣魚電子郵件種類繁多,但主流的攻擊方法大致可分為以下幾種:
(一) 郵件正文插入惡意鏈接
這是一種最基礎的攻擊方式��,就是在郵件正文中放入一個惡意誘導鏈接��,等待用戶進行點擊�����,鏈接后面是一個偽造的網站,可能是一個惡意程序下載鏈接或者一個用于偽造的登錄入口等。
攻擊者會利用一些近期一些熱點事件或者公司內部信息如疫情、產品介紹��、系統賬號升級等�,以提高內容可信度,誘導用戶點擊鏈接。而惡意鏈接部分也進行偽裝�����。
(二) 郵件附件藏毒
此類也是常見的一種�����,攻擊者的payload含在郵件附件里�,載體有直接的文檔���、圖片��、壓縮包��、腳本程序(exe、vbs、bat)等��。
最直接的方式當然是直接發送腳本程序��,但是容易被諸如網易企業郵箱等郵箱安全機制攔截或者人員識破��,因此攻擊者會使用一些偽裝手段���,如使用超長文件名隱藏后綴等��。
最常用來攻擊的辦公文件為Word文件���,其次為Excel文件�����。此類惡意文檔簡單的是利用宏代碼調用powershell進行命令執行���,高級的直接利用office等客戶端軟件漏洞�����。而ZIP壓縮格式較常被用來夾帶惡意文件,用于躲避郵件沙箱或者安全殺軟的直接查殺���。
屢試不爽的 Office 文件漏洞,一直是攻擊者愛用的武器之一�����。除了作業人員���、防病毒軟件對文檔的警覺性較低外�,許多人所使用的 Office 不會經常性更新。除了公司預算的問題外,原本就使用了非正版Windows�����,或擔心兼容性�����、使用上的適應性,以及缺乏漏洞修補的概念�,都是使用者不愿更新的原因�。
(三) 利用軟件漏洞攻擊
此類做法主要是使用郵件進行投遞攻擊武器��,武器本身利用了郵箱�����、客戶端軟件如瀏覽器、office��、系統等本身的漏洞��,此類攻擊需要配合操作系統/瀏覽器的 0day 或者 Nday���,而且需要對攻擊者使用的終端應用軟件進行比較精準的識別���,因此攻擊成本較高���,但是最終的效果還是很不錯的���,如利用郵箱的xss漏洞獲取了大量員工郵箱賬戶cookie信息���。
其他常見利用的漏洞有windows系統漏洞��、office漏洞、Winrar目錄穿越等���。
(四) 利用郵件協議漏洞攻擊
主要利用了郵箱本身安全設置問題,若郵箱地址沒有設置spf��,那么就會有人假冒真實域名發送郵件�。
郵件偽造
使用swaks可以非常簡單的向目標投送偽造的釣魚郵件�。
郵件協議爆破
使用萬能爆破工具hydra可以對常見郵件協議進行爆破。
(五) 郵件發件人身份“偽造”
這里面偽造筆者使用了引號,為什么呢?這個偽造可能是使用真實的發件人郵箱身份�,如攻擊者通過一些方式竊取了一些真實可信的郵箱身份�����。
當然還有一些比較迂回的方式,如果通過郵箱直接攻擊B單位人員無法成功,那么攻擊B單位的上級單位或者有較強業務往來的A單位人員郵箱���,然后利用B對A的可信度,偽造郵件向其索要一些敏感信息或者要求安裝一些異常軟件等。實際的對抗中確實有某攻擊隊通過此方式直接獲得了目標單位全員信息(姓名�、電話�����、郵箱、住址)。
俄羅斯網絡安全企業卡巴斯基實驗室俄卡巴斯基實驗室反垃圾郵件開發處負責人德米特里戈盧別夫向衛星通訊社表示,實驗室已經開發出一款智能系統,能夠通過自主分析來確認郵箱中的釣魚郵件和垃圾郵件�。
CC0俄卡巴斯基實驗室:五分之一的俄羅斯人在網上發現過自己不愿公開信息
釣魚是一種通過大量發送電子郵件(垃圾郵件)�,甚至冒充金融和國家機構�、社交網絡的冠名信息��,或者通過虛假網站來盜竊認證信息(密碼、信用卡數據���、社交網絡信息)的方法。犯罪分子有時會使用類似域名或URL地址偽裝成著名品牌的官網��。
卡巴斯基實驗室研發的這款智能系統可以分析不記名客戶統計數據中釣魚郵件和垃圾郵件的各種特征��,以這些數據為基礎生成分類組��,例如通過分析郵件標題中的字段分布次序。
戈盧別夫解釋說:“一旦發現潛在的垃圾信息�����,系統就會將其架構與分類組中的典型樣本進行對比���,這樣就提高了主動發現垃圾郵件的水平�,涵蓋面更廣��。這種技術降低了網絡帶寬和郵箱服務的損失�,幫助用戶避免了為自行過濾郵箱內容和建立自己的保護名單而浪費時間���?����!?/p>
檢查垃圾郵件的啟發式規則生成方法及其系統開發專利于2020年1月頒發�,隨后入選“2019和2020上半年全俄100項最佳發明”���。
戈盧別夫補充說:“這項技術并不是專用于查找釣魚郵件�,但能夠用于分析釣魚郵件附加的元信息,最終建立更加前攝的直觀推斷�,因此能夠查出其中的數種郵件�?!?/p>
如何防止釣魚郵件攻擊
在企業網絡安全威脅因素中,釣魚郵件是最常見、影響最嚴重的攻擊方式�����,黑客只需要將有害鏈接一鍵發送�,就有成千上萬的人將遭受威脅。隨著釣魚郵件愈發“精進”,即使細心的用戶��,也容易出現一時大意難以辨別的情況�����,如何防止釣魚郵件攻擊�����,是企業網絡安全部門最頭疼的問題之一���。
員工郵件帳戶劃定級別��,重要賬戶雙因素認證
許多企業對于員工的賬戶都設定了通用權限��,但事實上,這是非常危險的行為��,一個賬戶遭受攻擊�,可能會波及全公司的網絡。正確的做法是��,為員工的賬戶劃分等級���,普通員工使用最低級別的用戶權限��,即使被攻擊也可以減少潛在的傷害���,對于高級別的賬戶�����,可以采用雙因素認證。
設置電子郵件過濾服務器
要求員工來進行釣魚郵件的識別和清除工作是比較困難的���,事實上,企業通過設置電子郵件過濾服務器��,可以過濾掉大部分釣魚郵件,因為目前看來�,多數釣魚郵件還是按照傳統的攻擊形式來進行的���。像語法和拼寫都不規范的國外郵件���、包含諸如“24小時之內處理”�����、“請立即單擊此處”等緊急行動威脅暗示的內容�����、要求付款的內容���,可以標注為風險郵件���,提醒員工謹慎處理�,在過濾規則上���,可以結合企業的實際經營情況來進行設定�����。
鼓勵員工報告疑似攻擊的行為
事實上���,多數員工都經歷過疑似被攻擊的行為��,但因為不能進行判斷而不了了知,這些隱患或許就是企業下一次遭受攻擊的主要原因���。企業應當建立起全員重視網絡安全的氛圍,當遇到釣魚攻擊郵件�,要及時上報���,交由相關部門進行專業的核查和備案���,要知道�,有不少企業就是因為此前遭受過網絡攻擊卻沒有及時處理�,最終釀成事故��,不但得不到賠償�����,反而還要被罰款。
釣魚郵件對企業造成的危害不言而喻�����,想要從根本上杜絕不是一朝一夕的事情�,對于企業而言,要形成全單位共同應對網絡風險的良好氛圍,才能盡可能地避免損失��,幫助企業更好的運營���。
