信息化觀察網(wǎng)

美國聯(lián)邦調(diào)查局(FBI)在其最新的年度報告中確定，2020年商業(yè)電子郵件泄露(BEC)和個人電子郵件帳戶泄露(EAC)在美國造成的損失至少為18.6億美元，比2019年報告的損失增加了5%。BEC和EAC占美國2020年報告的所有網(wǎng)絡(luò)攻擊損失的45%，60歲以上的個人占報告的受害者的11%。

粗略比較，迄今為止已知的最大勒索軟件損失為4000萬美元。2021年Unit 42勒索軟件威脅報告發(fā)現(xiàn)，2020年勒索軟件的平均贖金為847344美元，而受害者支付的平均贖金為312493美元。2021年上半年，平均支付的贖金上漲了82%，達到570000美元。不過這些平均支付贖金的數(shù)字是保守的，因為它們只包括支付贖金中的直接金錢損失。還不包括與公司在攻擊期間被運營相關(guān)的損失，也不包括調(diào)查違規(guī)行為所花費的資源。

所有這些攻擊（BEC、EAC和勒索軟件）都有一個共同點，它們需要具有對目標網(wǎng)絡(luò)或帳戶的訪問特權(quán)。對于大多數(shù)攻擊者來說，面對那些擁有普通或低于普通網(wǎng)絡(luò)防御的目標，偽裝成合法用戶或通訊員進入網(wǎng)絡(luò)或賬戶，仍然是獲得秘密訪問權(quán)限、同時保持低被發(fā)現(xiàn)風險的最簡單、最經(jīng)濟的方法。通過使用合法憑證和公開可用的技術(shù)，惡意行為者可以“逃避防御，盜取和竊取網(wǎng)絡(luò)中的各種信息”。雖然APT通過暴力憑證攻擊成功地實現(xiàn)了他們的攻擊目標，但在許多情況下，攻擊者只是要求不知情的受害者交出他們的安全憑證。

電子郵件憑證盜取技術(shù)的發(fā)展

BEC/EAC攻擊的利潤豐厚，促使攻擊者不斷修改和升級他們的攻擊策略，以繞過各種保護措施。其中一項較新的技術(shù)集成了魚叉式網(wǎng)絡(luò)釣魚、自定義網(wǎng)頁和復雜的云單點登錄生態(tài)系統(tǒng)，以誘使用戶不經(jīng)意地泄露其憑證。一種流行的策略是使用看似良性的網(wǎng)頁，一旦打開，就會非常模仿流行和常用服務(wù)的合法登錄屏幕，例如：

Dropbox在一份聲明中表示:“這項活動與Dropbox的服務(wù)無關(guān)。這表明，依賴客戶辨別真假的難度越來越大。

當詐騙者使用這種策略時，他們通常會先發(fā)送帶有誘餌的電子郵件，誘使收件人打開附件或點擊網(wǎng)頁鏈接。電子郵件通常聚焦于業(yè)務(wù)運營的某些部分(包括財務(wù)、人力資源、物流和一般辦公室運營)，并指向一個與需要用戶操作的主題相關(guān)的附件或鏈接。這些主題包括匯款、發(fā)票、未償付款項、報價請求(RFQ)、購買確認、裝運狀態(tài)、語音郵件或通過電子郵件發(fā)送傳真等。為了使電子郵件看起來更合法，一些攻擊者以有意義的方式整合了目標的具體信息，包括在電子郵件的主題中。最近的一些郵件主題包括:

一旦打開，電子郵件就會呈現(xiàn)給用戶一個典型的登錄頁面。為了降低懷疑，攻擊者經(jīng)常以加強安全為幌子讓用戶注銷賬戶。在某些情況下，發(fā)送頁面時已經(jīng)包含了用戶的電子郵件地址(再次嘗試提高請求的合法性)，并且只要求輸入密碼。這些誤導性的登錄屏幕會發(fā)出警報，例如：

你需要通過電子郵件登錄，以確保你是受保護文件的合法收件人，郵件服務(wù)器的文件由“插入安全供應商”保護；

要閱讀該文檔，請輸入此文件發(fā)送到的有效電子郵件憑據(jù)；

因為你正在訪問敏感信息，因此需要驗證你的密碼；

因為你正在訪問敏感信息，因此需要身份驗證；

無法識別該設(shè)備，為了安全起見，公司名稱要真實；

你的電子郵件帳戶（用戶名）已經(jīng)注銷，請單擊“確定”以登錄；

請登錄你的帳戶以查看受保護的文件；

你已經(jīng)注銷，請輸入正確的電子郵箱和密碼；

通過登錄Office以從任何地方訪問你的文檔；

你的密碼是查看傳真信息的安全密碼。

模擬Microsoft的惡意登錄請求的示例，需要憑證才能訪問文檔

一個惡意登錄請求模擬SharePoint的例子，需要憑證才能訪問文檔

模擬Microsoft的惡意登錄請求的示例，需要憑證才能訪問文檔

攻擊者們還添加了巧妙的策略來進一步欺騙用戶。在某些情況下，他們自定義構(gòu)建他們的“登錄”模板，以匹配他們所針對的特定公司使用的公司電子郵件系統(tǒng)的外觀和感覺。在其他情況下，他們會根據(jù)用戶電子郵件地址的域部分自動檢測關(guān)聯(lián)公司，然后將該公司的徽標集成到欺詐網(wǎng)頁中。

JavaScript示例，用于從受害者的電子郵件地址識別組織，然后將其徽標合并到后續(xù)頁面中。

此外，許多攻擊者正在他們的代碼中添加邏輯，以確保用戶準確輸入憑證。一個格式不正確的電子郵件地址或空白的密碼將產(chǎn)生一個錯誤指示用戶重試。攻擊者還會對第一次正確格式化的嘗試自動做出“密碼錯誤，請再試一次”的反應。這些技術(shù)增加了攻擊者收到有效密碼的可能性，并可能減少謹慎用戶的懷疑，這些用戶可能首先輸入假憑證來查看請求是否合法。

用于驗證憑證的JavaScript示例

假設(shè)詐騙者認為他們讓用戶打開文件附件的機會太低，或者他們可以創(chuàng)建一個有點可信的完全限定域名。在這種情況下，他們還可以簡單地將用戶指向合法托管服務(wù)上的網(wǎng)站，上面的技術(shù)都包含在一個托管頁面中。最近用戶可能錯誤導航到的一些惡意網(wǎng)站包括：

用戶輸入并提交憑證后，Web瀏覽器會將HTTP發(fā)布請求中的信息發(fā)送到通常以*.php結(jié)尾的URL。作為超文本處理器，PHP使詐騙者能夠輕松捕獲任何收到的憑證，對其進行解碼并將其存儲在數(shù)據(jù)庫中。此外，雖然攻擊者可以購買和維護支持這些騙局的Web域，但我們看到大量使用以前被攻擊和合并的合法域來滿足這些騙子的需求。

這種對合法基礎(chǔ)設(shè)施的惡意使用給網(wǎng)絡(luò)防御者帶來了兩個挑戰(zhàn)。首先，識別惡意流量是困難的，因為它發(fā)生在兩個潛在的可信網(wǎng)絡(luò)之間。其次，一旦識別為惡意活動宿主，阻止合法域名通常是不可能的，因為它也會阻止該域名的合法和經(jīng)常需要的內(nèi)容。由于這些原因以及零成本，黑客們越來越多地依靠附加的基礎(chǔ)設(shè)施來達到他們想要的目的。

為了防止用戶在無法登錄虛假網(wǎng)站時產(chǎn)生懷疑，詐騙者通常會采用以下方法：

重定向到用戶認為他們正在登錄的合法網(wǎng)站，如果已經(jīng)登錄，這會將他們直接帶到他們的帳戶中，從而增加他們對請求的合法性的感覺；

“服務(wù)不可用錯誤”建議他們稍后再試；

“找不到文件”錯誤；

“掃描文件鎖定”錯誤和“重定向回你的帳戶”，然后將用戶重定向回其合法收件箱；

通用內(nèi)容；

為網(wǎng)絡(luò)釣魚嘗試定制的內(nèi)容。

一旦攻擊者竊取了有效的用戶憑證，他們就離騙取公司或用戶的資金更近了一步。攻擊者將使用盜取到的憑證對用戶的文件、交易和通信進行初步偵察。有了這些信息，攻擊者現(xiàn)在可以更好地了解以下情況：識別其他價值目標、了解正常的業(yè)務(wù)流程和審批鏈、利用用戶的文檔或共享文件訪問權(quán)限來創(chuàng)建自定義網(wǎng)絡(luò)釣魚文檔，并通過偽裝為帳戶用戶來使用帳戶獲取經(jīng)濟利益或轉(zhuǎn)向更有利可圖的環(huán)境。

總結(jié)

對于企業(yè)或用戶來說，檢測上述惡意策略可能非常具有挑戰(zhàn)性。此外，大多數(shù)網(wǎng)絡(luò)安全產(chǎn)品通常不會自動將這些活動檢測為惡意活動，因為詐騙者們在其騙局中使用了合法網(wǎng)頁的精確副本，并沒有將木馬、間諜軟件、鍵盤記錄程序或其他惡意軟件納入他們的盜取嘗試。Unit 42研究人員建議采取以下措施來降低上述策略造成的電子郵件泄露風險：

對所有企業(yè)和個人帳戶實施多因素身份驗證；

不斷更新和培訓用戶關(guān)于BEC/個人EAC騙局中使用的不斷發(fā)展的策略和社會工程；

不要相信任何鏈接，始終驗證；

確保用戶和管理員明白，即使文件成功通過病毒掃描，它仍然可能具有惡意目的；

確保用戶了解哪些服務(wù)是單點登錄以及訪問這些帳戶的合法URL；

定期更改密碼，每個帳戶使用一個獨立的復雜密碼，并使用密碼管理器來跟蹤憑證。

本文翻譯自：https://unit42.paloaltonetworks.com/credential-harvesting/