釣魚郵件攻擊新手段:濫用URL重寫服務(wù)

釣魚攻擊一直是企業(yè)和個(gè)人用戶面臨的主要威脅之一。為了應(yīng)對(duì)這種威脅,許多電子郵件安全服務(wù)引入了URL重寫(保護(hù))技術(shù),通過聲譽(yù)過濾器阻止用戶訪問已知釣魚網(wǎng)站。然而,近期的一些釣魚活動(dòng)卻利用這種保護(hù)技術(shù)來實(shí)施攻擊。

640 (1).png

本文來自微信公眾號(hào)“安信安全”。

釣魚攻擊一直是企業(yè)和個(gè)人用戶面臨的主要威脅之一。為了應(yīng)對(duì)這種威脅,許多電子郵件安全服務(wù)引入了URL重寫(保護(hù))技術(shù),通過聲譽(yù)過濾器阻止用戶訪問已知釣魚網(wǎng)站。然而,近期的一些釣魚活動(dòng)卻利用這種保護(hù)技術(shù)來實(shí)施攻擊。

安全公司Barracuda Networks最新報(bào)告顯示:“從2024年5月中旬開始,網(wǎng)絡(luò)釣魚攻擊者開始利用三種不同的URL重寫服務(wù)來掩蓋釣魚網(wǎng)站URL。這些URL重寫服務(wù)由值得信賴的合法品牌提供。到目前為止,此類濫用URL重寫服務(wù)攻擊已經(jīng)攻擊了數(shù)百家甚至更多的公司。”

URL重寫服務(wù)的工作原理

URL重寫服務(wù)是電子郵件安全供應(yīng)商在安全郵件網(wǎng)關(guān)和云郵件服務(wù)中廣泛使用的一種對(duì)電子郵件中的鏈接進(jìn)行即時(shí)聲譽(yù)檢查的工具,通過重寫傳入或傳出電子郵件中的鏈接,使其指向由安全受控的域名和服務(wù)。

當(dāng)用戶點(diǎn)擊重寫的鏈接時(shí),服務(wù)器會(huì)檢查該鏈接是否指向已知的釣魚或惡意軟件網(wǎng)站,并根據(jù)檢查結(jié)果決定是阻止訪問還是重定向到安全網(wǎng)址。這種方法的好處在于,如果一個(gè)網(wǎng)站在稍后被標(biāo)記為惡意,所有指向它的重寫鏈接都將停止工作,從而為所有用戶提供保護(hù)。

URL重寫的技術(shù)缺陷與挑戰(zhàn)

盡管URL重寫服務(wù)在理論上具有保護(hù)作用,但其實(shí)際效果卻存在爭(zhēng)議。首先,這種方法會(huì)破壞加密電子郵件簽名,因?yàn)榘踩娮余]件網(wǎng)關(guān)通過更改鏈接修改了原始電子郵件。其次,重寫的鏈接掩蓋了真實(shí)的目的地網(wǎng)址,這使得用戶無法通過查看鏈接來識(shí)別釣魚網(wǎng)站。

例如,微軟在其Office 365用戶中提供了名為“安全鏈接”的功能,該功能會(huì)重寫傳入電子郵件和應(yīng)用程序(如Outlook和Teams)中的鏈接。然而,這一功能過去曾被安全公司批評(píng),原因包括不進(jìn)行動(dòng)態(tài)掃描或容易被基于IP的流量重定向繞過——微軟的IP地址是公開的——或通過使用來自合法和受信任域名的開放重定向URL。

URL重寫服務(wù)最大的缺點(diǎn)是,其鏈接聲譽(yù)檢查基于黑名單機(jī)制,而一個(gè)新釣魚網(wǎng)站被添加到安全廠商的黑名單所需的時(shí)間各不相同。這可能需要幾分鐘、幾小時(shí)或幾天,取決于是否有人報(bào)告。一些安全廠商比其他廠商動(dòng)作更快,攻擊者也知道這一點(diǎn)。域名相當(dāng)便宜,等到一個(gè)域名因托管釣魚網(wǎng)站而被標(biāo)記時(shí),可能已經(jīng)有數(shù)百名用戶成為其受害者。

攻擊者如何濫用URL重寫服務(wù)

目前尚不清楚Barracuda觀察到的釣魚活動(dòng)如何重寫指向釣魚網(wǎng)站的URL。研究人員推測(cè),他們可能入侵了使用這些服務(wù)的企業(yè)內(nèi)部電子郵件賬戶,然后向這些被入侵的帳戶發(fā)送電子郵件或從這些被入侵的帳戶發(fā)送電子郵件以強(qiáng)制進(jìn)行URL重寫。

然后,攻擊者只需從生成的電子郵件消息中獲取重寫的URL,用來制作新的釣魚電子郵件。

一些使用URL重寫技術(shù)的釣魚電子郵件偽裝成來自微軟的密碼更改提醒或來自DocuSign的文檔簽名請(qǐng)求。這些電子郵件包含被仿冒服務(wù)的典型品牌元素,包括使用重寫鏈接將用戶重定向的按鈕。

面對(duì)濫用URL重寫服務(wù)的釣魚郵件攻擊,Barracuda的研究人員強(qiáng)調(diào),安全措施應(yīng)與安全意識(shí)培訓(xùn)相結(jié)合,企業(yè)和個(gè)人用戶應(yīng)保持警惕,及時(shí)更新安全策略,以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論