信息化觀察網(wǎng)

一年前，一切都變了，大部分人的生活完全轉(zhuǎn)移到網(wǎng)上。事實上，不僅人們的生活和工作方式發(fā)生了變化，網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)發(fā)起攻擊的方法和策略也發(fā)生了變化。

從目前的發(fā)展態(tài)勢來看，生活要恢復(fù)正常還有很長的路要走，而且一些變化態(tài)勢，比如遠(yuǎn)程工作，看起來會一直會存在下去，隨著這些變化而出現(xiàn)的新的網(wǎng)絡(luò)威脅也是如此。

日前卡巴斯基專家回顧了自大流行開始以來，威脅格局是如何演變的，以及這對用戶未來幾年的安全防御意味著什么。

從有針對性的攻擊到利用所有與新冠病毒相關(guān)的主題、垃圾郵件和網(wǎng)絡(luò)釣魚的最大趨勢

網(wǎng)絡(luò)釣魚仍然是最有效的攻擊類型之一，因為它利用用戶的情緒、特別是他們的恐懼和焦慮。隨著前兩者的流行，網(wǎng)絡(luò)釣魚攻擊被證明是網(wǎng)絡(luò)攻擊者非常有利可圖的攻擊媒介。

2020年，攻擊者發(fā)起了各種各樣的騙局，從各個角度利用了新冠疫情的主題，從廣告、供不應(yīng)求的口罩到政府的特殊退款。

在上述一封釣魚郵件中，可以看到偽造的口罩購買登陸頁面，提示用戶輸入他們的付款詳細(xì)信息

攻擊者經(jīng)常模仿疾病預(yù)防控制中心和世界衛(wèi)生組織等流行病界的主要權(quán)威人物，以新冠疫情為主題來發(fā)送一些電子郵件，利用這種釣魚郵件，增加用戶點擊惡意鏈接的機(jī)會。一旦點擊，用戶最終可能會無意中被各種木馬(各種惡意文件允許網(wǎng)絡(luò)攻擊者執(zhí)行一切操作，比如從刪除和阻止數(shù)據(jù)到破壞計算機(jī)性能)和蠕蟲(具有一定功能的文件)攻擊，之后攻擊者就會在其計算機(jī)上下載一系列惡意程序，竊取受害者設(shè)備上的隱私數(shù)據(jù)，更有甚者，會進(jìn)行勒索攻擊。當(dāng)然，在其他攻擊場景，例如那些涉及口罩廣告的情況，主要目標(biāo)是竊取金錢或收集用戶信息。

一封來自疾控中心的郵件，聲稱有關(guān)于新冠疫情的緊急更新

令人驚訝的是，被利用的最常見主題之一為“延遲交貨”。攻擊者發(fā)起攻擊的手段通常是發(fā)送各種偽造的商業(yè)訂單，攻擊者利用新冠疫情期間物流的不確定性誘騙用戶點擊信息，下載惡意程序。他們會發(fā)送電子郵件，聲稱由于新冠疫情，交貨時間需要不斷被延遲，為了重新配送，必須要用戶重新提交新的交貨信息才能重新郵寄。但是，點擊附件后，用戶下載的卻是各種惡意程序和木馬。

一封網(wǎng)絡(luò)釣魚電子郵件，聲稱快遞已被延遲且其中包含惡意附件

實際上，在2020年，快遞服務(wù)已成為網(wǎng)絡(luò)釣魚的重災(zāi)區(qū)。

遠(yuǎn)程工作是網(wǎng)絡(luò)攻擊興起的重要原因

由于許多公司在沒有得到通知的情況下被迫關(guān)門，很少有公司有時間采取適當(dāng)?shù)陌踩胧Ｆ浣Y(jié)果是，隨著員工開始從個人設(shè)備和不安全的網(wǎng)絡(luò)上登錄公司資源，許多公司變得容易受到攻擊。其中最重要的攻擊有，針對RDP協(xié)議的暴力攻擊，RDP協(xié)議是微軟的專有協(xié)議，使用戶能夠訪問Windows工作站或服務(wù)器。目前，RDP協(xié)議是公司使用的最流行的遠(yuǎn)程訪問協(xié)議之一，使其成為攻擊者的最愛目標(biāo)。在暴力攻擊中，攻擊者通過嘗試不同的組合來隨機(jī)猜測RDP連接的用戶名和密碼，直到他們猜出正確的組合，從而獲得對機(jī)密公司資源的訪問權(quán)。

2020年春天，全球范圍內(nèi)針對RDP協(xié)議的暴力攻擊數(shù)量都在飆升。

針對RDP協(xié)議的暴力攻擊次數(shù)

如圖所示，一旦封城消息被被宣布，暴力破解的RDP攻擊數(shù)量就會急劇增加——從2月份的9310萬起，到3月份的277.4億起，增長了197%。雖然攻擊的次數(shù)隨著新冠疫情的繼續(xù)而有所減少，但襲擊的次數(shù)并沒有回到大流行病前的水平。事實上，在冬季宣布新的封城措施后，RDP攻擊再次呈現(xiàn)上升趨勢。在2021年2月，發(fā)生了3.775億起暴力襲擊事件，與2020年初的9310萬起相比簡直是天上地下。

網(wǎng)絡(luò)社交平臺也成了熱門攻擊目標(biāo)

隨著社交的物理隔絕，對網(wǎng)絡(luò)社交的需求達(dá)到了前所未有的水平。從Facebook到Netflix再到Y(jié)ouTube，大公司都被迫降低視頻質(zhì)量以滿足需求。所有這些額外的用戶意味著大量新的犯罪目標(biāo)。截至2020年5月，卡巴斯基網(wǎng)絡(luò)殺毒軟件平均每天攔截的攻擊次數(shù)增加了25%。事實上，網(wǎng)絡(luò)攻擊的數(shù)量在2020年夏天出現(xiàn)下降后，在12月達(dá)到了新的高峰，當(dāng)時世界大部分地區(qū)正面臨第二波疫情。

2020年3月至2021年2月被卡巴斯基網(wǎng)絡(luò)殺毒軟件攔截的網(wǎng)絡(luò)攻擊數(shù)量

用戶在網(wǎng)上花費(fèi)的大部分時間都用于虛擬會議和協(xié)作，這就是為什么Zoom和Teams等會議和聊天應(yīng)用成為傳播惡意程序的熱門目標(biāo)。

在檢查了包括Zoom，Webex和MS Teams在內(nèi)的流行會議和視頻會議應(yīng)用程序之后，卡巴斯基的研究人員注意到，越來越多的惡意文件以這些應(yīng)用程序的名稱為幌子進(jìn)行傳播。

以流行的會議應(yīng)用(Webex，Zoom，MS Teams，HighFive，Lifesize，Join.me，Slack，F(xiàn)lock和Gotomeeting)為幌子傳播的惡意文件數(shù)量

在今年1月，研究人員共檢測到了115萬個此類文件，這是自新冠疫情以來的最高數(shù)量。這些文件通常偽裝成看似合法的應(yīng)用程序安裝程序來發(fā)起攻擊，它們通常通過以下方式進(jìn)行傳播：偽裝成平臺通知或特殊優(yōu)惠的網(wǎng)絡(luò)釣魚郵件或網(wǎng)絡(luò)釣魚網(wǎng)頁來誘騙用戶下載。

總結(jié)

隨著人們的生活變得越來越數(shù)字化，這種攻擊趨勢可能會持續(xù)下去。盡管新冠疫情可能已進(jìn)入最后階段，但釣魚攻擊者仍然有新的話題可以利用，例如旅行或分發(fā)疫苗的話題。用戶必須以懷疑的眼光看待任何涉及新冠疫情的電子郵件或網(wǎng)站，這一點很重要。更重要的是，最近發(fā)生的事件表明，攻擊者很會利用危機(jī)事件的話題，盡管這種流行趨勢將消退，但它肯定很有被利用的價值。

許多組織已經(jīng)聲明就算是沒有疫情，他們也將繼續(xù)使遠(yuǎn)程工作成為一種常態(tài)工作模式。這意味著RDP的安全保護(hù)毫無用處，企業(yè)需要重新評估其RDP的使用并學(xué)習(xí)如何保護(hù)遠(yuǎn)程訪問。