COVID-19對全球的影響橫跨了三季,上半年期盼結(jié)束在家工作的情況,在第三季度仍無法得到完全實現(xiàn),部分公司更保守預估這樣的情況可能會延續(xù)至明年的第一季度,甚至更長的時間。而在電子郵件安全方面,第三季度整體的郵件攻擊數(shù)量,較第二季度稍有趨緩,但帶有惡意文件的郵件則較上一季度增加了約40%。本季度明顯的電子郵件安全趨勢,多為合法服務遭到濫用,以下我們分別就幾個值得注意的濫用趨勢分別說明。
濫用公用服務的釣魚郵件
第三季度最明顯的攻擊是濫用公用服務的釣魚郵件,其中數(shù)量最多的一波出現(xiàn)在8月份,來自SendGrid的釣魚郵件。SendGrid是一家位于科羅拉多州丹佛市的客戶交流平臺,其服務包括了用于交易和營銷電子郵件。來自SendGrid的釣魚郵件可能與SendGrid在8月份發(fā)現(xiàn)的大批賬號密碼遭到破解,并且破解的賬號密碼被用以濫發(fā)垃圾與釣魚郵件的事件有關(guān)系。這批郵件發(fā)送自SendGrid的合法郵件服務器,并且惡意頁面也寄宿在SendGrid所提供的網(wǎng)頁服務上。
(SendGrid服務被濫用于仿冒郵政服務進行釣魚。)
Google所提供的網(wǎng)絡日志服務也遭到濫用。網(wǎng)絡日志服務被用來發(fā)布騙取賬號密碼的釣魚頁面。值得注意的是,遭到仿冒的對象皆為郵政服務。
(Google網(wǎng)絡日志服務被濫用于仿冒郵政服務進行釣魚。)
互聯(lián)網(wǎng)檔案館(archive.org)快照存放釣魚頁面
我們也發(fā)現(xiàn)互聯(lián)網(wǎng)檔案館(archive.org)的網(wǎng)頁快照服務遭到釣魚攻擊的濫用。這并不是過去的釣魚頁面被快照服務無意保存下來,而是攻擊者蓄意利用快照服務的功能,先讓釣魚頁面存在于快照服務中;之后發(fā)送釣魚郵件,直接將釣魚頁面指向快照服務的特定頁面。
(釣魚郵件,直接將釣魚頁面指向快照服務的特定頁面)
這個攻擊希望騙取的目標是Outlook服務的賬號密碼?;ヂ?lián)網(wǎng)檔案館快照服務被濫用于提供一個惡意頁面存放的空間;而盜取賬號密碼的網(wǎng)頁端程序,則是在另一個地方。如此一來,瀏覽器及上網(wǎng)安全的保護措施,或許無法在訪問惡意頁面時,直接警示所訪問的網(wǎng)站為惡意來源,因為互聯(lián)網(wǎng)檔案館快照服務是一個知名的功能服務。
(當訪問這個頁面時,會發(fā)現(xiàn)這個釣魚頁面試圖騙取Outlook服務的賬號密碼。)
(填入賬號密碼按下sign in后,賬號密碼即遭到盜取。)
恐嚇郵件詐騙比特幣
在9月初,突然出現(xiàn)大量的比特幣詐騙,其內(nèi)容為恐嚇收件人計算機遭到入侵與監(jiān)控,并威脅若不遵照指示匯入比特幣至對應的錢包,私密的視頻照片將被公開外流。這個恐嚇詐騙聲稱的內(nèi)容其實是杜撰的,但這個詐騙內(nèi)容以各種語言分別分發(fā)給不同國家地區(qū)的人。
(攻擊對象為中國,內(nèi)容以簡體中文撰寫)
(攻擊對象為日本,內(nèi)容以日文撰寫)
這個類型的詐騙郵件,本身并不帶有任何惡意文件或超鏈接,純粹只是以內(nèi)容來讓受害人心生害怕進而匯比特幣到指定的賬戶,發(fā)送來源也十分多元,甚至利用了Gmail服務,來躲避來源偵測或信譽評價。
結(jié)語
詐騙、釣魚以及各種社交工程的手法,作為入侵、獲取利益的手段越來越普遍,雖然其中的技術(shù)含量低,但防不勝防,對于攻擊者而言,是一個獲取利益的便利手段。事實上,要以人工的方式辨識一個郵件內(nèi)或網(wǎng)頁中存在的異常,本來就是件十分困難的事;若是這些異常點,全都被遭到濫用的「正常」服務所取代,那識別起來就更加的困難了。
因此,我們建議,人員可提防的部分,應該著眼在當悖離標準作業(yè)規(guī)范、約定的作業(yè)方式以及自身角色應接觸的事務時,采取更高的警戒或查證的工作;其他部分,則應采取更安全的網(wǎng)絡安全措施或設備做為輔助才能事半功倍。