來自GreatHorn的研究人員報(bào)告說,他們已經(jīng)觀察到了犯罪分子通過構(gòu)造"畸形的URL前綴"來逃避安全軟件的防護(hù),發(fā)送釣魚郵件進(jìn)行攻擊的次數(shù)增加了近6000%。除非你仔細(xì)觀察URL前綴中使用的符號,要不然,它們看起來是非常合法的。
研究人員在一篇關(guān)于他們的研究發(fā)現(xiàn)的博客文章中說:"這些URL是畸形的,沒有利用正常的URL協(xié)議,比如http://或https://,相反,他們在其URL前綴中使用的是http:/"。
GreatHorn在報(bào)告中解釋說,URL地址中的斜線在很大程度上來講是多余的,所以瀏覽器和許多掃描器甚至?xí)雎运鼈儭?/p>
Typosquatting是一種常見的釣魚郵件策略,即把常見的企業(yè)名稱拼錯,比如"amozon.com"。試圖誘導(dǎo)不細(xì)心的用戶點(diǎn)擊鏈接。研究人員解釋說,如今,大多數(shù)人都知道了這類電子郵件的詐騙方式,所以網(wǎng)絡(luò)犯罪分子也不得不研究出新的攻擊方式。
電子郵件保護(hù)工具會忽略URL前綴中的反斜杠
研究人員說:"這些URL不符合常見的電子郵件掃描程序所包含的'已知的惡意鏈接'配置文件,程序會忽略對于它們的檢查。它們也可能會逃過用戶對鏈接的檢查,因?yàn)椴⒉皇敲總€(gè)人都會在URL前綴中尋找可疑的線索。"
研究人員報(bào)告說,他們在去年10月首次注意到了這種新的攻擊策略,并表示,自那時(shí)以來,這種攻擊策略就發(fā)展的非常迅速。他們說,1月至2月初的攻擊次數(shù)激增了6000%。
畸形前綴的URL攻擊是什么樣的?
GreatHorn提供了一封地址為”http:/brent.johnson.australiasnationalskincheckday.org.au//exr/brent.johnson impacteddomain.com”的畸形URL釣魚郵件的例子。
研究人員解釋說:“釣魚郵件似乎是由語音郵件服務(wù)發(fā)出的”。該團(tuán)隊(duì)報(bào)告說,該電子郵件包含了一個(gè)語音信息,播放Audi Date.wav文件,并且該鏈接會重定向到一個(gè)惡意網(wǎng)站。
他們解釋說:"該網(wǎng)站甚至還包括一個(gè)reCAPTCHA的驗(yàn)證功能,這是在合法網(wǎng)站中常見的安全功能,這也顯示出了這種攻擊的復(fù)雜性和微妙性"。
報(bào)道稱,惡意網(wǎng)站頁面看起來像Office的登錄頁面,頁面要求輸入用戶名和密碼。一旦輸入,攻擊者就可以控制受害者的賬戶憑證。
報(bào)告補(bǔ)充說,Office 365用戶更有可能遭遇這種類型的攻擊,"其比例遠(yuǎn)高于將Google Workspace作為云電子郵件環(huán)境的組織"。
報(bào)告解釋說,使用這些惡意URL的攻擊者采用了多種策略來傳播他們的惡意軟件,這其中包括使用偽造的名稱冒充用戶公司內(nèi)部的電子郵件系統(tǒng);通過從一個(gè)與企業(yè)沒有任何關(guān)系的地址發(fā)送郵件來避免安全掃描器的檢查;在釣魚郵件中嵌入一個(gè)鏈接,該鏈接會重定向打開一個(gè)新的網(wǎng)頁,同時(shí)使用一些語句描述讓用戶產(chǎn)生一種"緊迫感"。
該報(bào)告還建議"安全團(tuán)隊(duì)要盡快搜索其組織電子郵件中是否包含與模式(http:/)相匹配的URL的信息,并刪除其中所有相匹配的郵件",防止其系統(tǒng)受到攻擊。
GreatHorn的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Kevin O'Brien告訴Threatpost,這些惡意URL攻擊可以通過使用那些能夠進(jìn)行細(xì)致分析的第三方解決方案來解決。
OBrien說:"在過去五年中,有各種API原生解決方案進(jìn)入到市場中,許多解決方案都是專門針對那些傳統(tǒng)安全電子郵件網(wǎng)關(guān)和平臺無法分析或識別的威脅攻擊而設(shè)計(jì)的,這些解決方案提供了強(qiáng)大的安全保障,在用戶即將進(jìn)入一些危險(xiǎn)的網(wǎng)絡(luò)環(huán)境時(shí)會向用戶發(fā)出警報(bào),比如我們在這次攻擊中所看到的情況。"
電子郵件網(wǎng)絡(luò)釣魚詐騙很常見
該報(bào)告是在網(wǎng)絡(luò)釣魚詐騙特別猖狂的時(shí)期發(fā)布的。Proofpoint最近發(fā)布的2020年網(wǎng)絡(luò)釣魚狀態(tài)顯示,美國的網(wǎng)絡(luò)釣魚攻擊在過去一年中猛增了14%。
Proofpoint高級副總裁兼安全意識培訓(xùn)總經(jīng)理Alan LeFort說:"全球的網(wǎng)絡(luò)攻擊者正在以便捷且復(fù)雜的通信方式進(jìn)行攻擊,其中最明顯的就是通過電子郵件渠道,電子郵件仍然是非常高級的攻擊載體,如何確保用戶能夠發(fā)現(xiàn)和報(bào)告那些試圖進(jìn)行的網(wǎng)絡(luò)攻擊是安全業(yè)務(wù)的關(guān)鍵,特別是用戶在遠(yuǎn)程工作時(shí),通常會在一個(gè)不太安全的網(wǎng)絡(luò)環(huán)境中。雖然許多組織表示他們正在向員工進(jìn)行安全意識培訓(xùn),但我們的數(shù)據(jù)顯示,大多數(shù)組織做得可能還不夠。"
本文翻譯自:https://threatpost.com/malformed-url-prefix-phishing-attacks-spike-6000/164132/