信息化觀察網(wǎng)

研究揭示大多數(shù)罪犯如何利用人的好奇心和信任，騙取點(diǎn)擊、下載、安裝、打開和發(fā)送金錢或信息。

絕大多數(shù)網(wǎng)絡(luò)罪犯針對(duì)的是人而不是基礎(chǔ)設(shè)施：2018 至 2019 年間，超過 99% 的電子郵件分發(fā)惡意軟件，需要受害者人為點(diǎn)擊鏈接、打開文檔、接受安全警告，或者完成其他任務(wù)，才可以有效入侵目標(biāo)公司。罪犯瞄準(zhǔn)的不是各類系統(tǒng)，而是人，是人擔(dān)任的職務(wù)，及其可以訪問的數(shù)據(jù)。

以上數(shù)據(jù)出自 Proofpoint 研究人員歷經(jīng) 18 個(gè)月攻擊趨勢(shì)觀察編撰而成的《人為因素 2019》報(bào)告。報(bào)告指出，隨著攻擊者從打砸搶式勒索軟件攻擊活動(dòng)，轉(zhuǎn)向精心策劃的商業(yè)電郵入侵陰謀和域名欺詐，公司企業(yè)越來越容易遭遇社會(huì)工程攻擊，社會(huì)工程攻擊的復(fù)雜程度也持續(xù)上升。

Proofpoint 威脅情報(bào)主管 Chris Dawson 稱：觀察到的絕大多數(shù)威脅，需要某種形式的人機(jī)交互。使用硬件或軟件漏洞的情況也時(shí)有所見，但這些最終還是要嵌入到惡意文件中。甚至漏洞利用程序和宏的使用，也需要人來點(diǎn)擊鏈接、打開文檔、接受安全警告，或完成其他動(dòng)作。

Proofpoint 報(bào)告稱，2018 所有網(wǎng)絡(luò)釣魚活動(dòng)中，通用電子郵件收集占比近 25%。憑證收集依然是今年的重點(diǎn)關(guān)注項(xiàng)，其技術(shù)正轉(zhuǎn)向微軟 Office 365 網(wǎng)絡(luò)釣魚和冒充攻擊。云存儲(chǔ)、DocuSign 和微軟云服務(wù)網(wǎng)絡(luò)釣魚是今年最熱網(wǎng)絡(luò)釣魚誘餌，取代了去年分發(fā)飲食相關(guān)垃圾郵件，捕獲受害者信用卡的 “健腦飲食” (Brain Food) 僵尸網(wǎng)絡(luò)。

Dawson 表示，攻擊者知道公司企業(yè)正轉(zhuǎn)向云端，雇員只要看到眼熟的東西就會(huì)點(diǎn)擊，即便發(fā)送者不再聯(lián)系人列表內(nèi)。用戶已慣于看到 Office 365 和 Dropbox 鏈接；點(diǎn)擊這些鏈接的直覺已經(jīng)勝過三思而后行的本能了。

假冒攻擊郵件正從 “請(qǐng)求” 類主題欄轉(zhuǎn)向顯示 “支付” 或 “緊急” 的消息。主題欄誘餌也隨季節(jié)變動(dòng)，2018 年末和 2019 年初盛行 W-2 報(bào)稅表相關(guān)的攻擊，且各行業(yè)用語不同。比如說，教育行業(yè)收到的假冒攻擊郵件大多為 “請(qǐng)求” 和 “致意” 類，而針對(duì)工程公司的攻擊，通常在主題欄寫 “緊急” 或 “要求” 字樣。為跟上商業(yè)流程，多數(shù)假冒電子郵件在星期一發(fā)送，快到周末時(shí)漸漸偃旗息鼓。

背后原因是什么？

與大量投送勒索軟件的廣撒網(wǎng)式攻擊活動(dòng)不同，現(xiàn)在的攻擊者小范圍利用更縝密的攻擊。他們更偏好可以不觸發(fā)任何警報(bào)，駐留受害者計(jì)算機(jī)數(shù)天或數(shù)月的那類惡意軟件。很多攻擊者都已經(jīng)轉(zhuǎn)向分發(fā)復(fù)雜后門以收集數(shù)據(jù)了。

方法和工具的變遷皆旨在更長(zhǎng)久地駐留受害者主機(jī)，長(zhǎng)期收集數(shù)據(jù)，以及圖謀后續(xù)再做點(diǎn)別的動(dòng)作。勒索軟件攻擊如今也表現(xiàn)出新的模式，似乎早在感染開始前，企業(yè)就已經(jīng)被入侵了。

比如說，Carbanak 黑客團(tuán)伙就使用誘餌和精心編制的文件附件，來分發(fā)多種惡意軟件。2018 年的一次攻擊行動(dòng)用到一封電子郵件，其附件甚至聲稱受到安全技術(shù)保護(hù)。按指示“解密”該文件就會(huì)啟動(dòng)宏，并安裝 Carbanak 攻擊常用的 Griffon 后門。

誰家收件箱面臨風(fēng)險(xiǎn)？

當(dāng)今攻擊活動(dòng)正朝向針對(duì)性攻擊發(fā)展；但攻擊者在目標(biāo)類型選擇和攻擊策劃上表現(xiàn)出多樣性。

最易遭攻擊的人群是身份信息公開可見的那類。首席級(jí)高管往往不在此列，他們通常不會(huì)在網(wǎng)上暴露身份。但銷售人員、市場(chǎng)營(yíng)銷團(tuán)隊(duì)和人力資源員工，大多都有公開的電子郵箱。已識(shí)別的遭攻擊人員中，36% 的相關(guān)身份可從企業(yè)網(wǎng)站、社交媒體或其他網(wǎng)站上獲取。與之相對(duì)，僅 7% 的高管電子郵箱地址可在網(wǎng)上找到。

犯罪機(jī)會(huì)，或者說類似 HR[@]company[.]com 這樣的別名郵箱地址，相當(dāng)常見。這種共享的別名郵箱賬戶真的非常難以保護(hù)。

針對(duì)每家公司，攻擊者只要以超過五個(gè)的假冒身份，向五名以上員工實(shí)施攻擊，往往能收獲成功。攻擊正從一對(duì)一轉(zhuǎn)向一對(duì)多，再轉(zhuǎn)向多對(duì)多。攻擊者可能假冒多位高管向員工發(fā)送惡意文件，或者利用一組假冒身份向人力資源部門索要 W-2 報(bào)稅數(shù)據(jù)。

攻擊者用這種策略大獲成功，也就進(jìn)一步加大了冒用身份的數(shù)量和攻擊目標(biāo)人數(shù)。