本文來自嘶吼專業(yè)版,作者/胡金魚。
據(jù)安全研究人員跟蹤發(fā)現(xiàn),攻擊者開始在批量網(wǎng)絡(luò)釣魚活動中使用魚叉式網(wǎng)絡(luò)釣魚策略。
介紹
批量網(wǎng)絡(luò)釣魚電子郵件活動往往針對大量受眾。它們通常表現(xiàn)為籠統(tǒng)的措辭和簡單的格式,拼寫錯誤也很常見。有針對性的攻擊攻擊者會發(fā)送包含個人詳細(xì)信息的個性化消息,使用戶看起來更像是從客戶那里收到的消息。大規(guī)模采用這種方法是需要付出十分昂貴的成本,然而,魚叉式網(wǎng)絡(luò)釣魚的某些元素最近開始用于常規(guī)的大規(guī)模網(wǎng)絡(luò)釣魚活動。本文將介紹一些現(xiàn)實(shí)生活中的例子來說明這一趨勢。
魚叉式網(wǎng)絡(luò)釣魚與群體式網(wǎng)絡(luò)釣魚
魚叉式網(wǎng)絡(luò)釣魚是一種針對特定個人或小群體的攻擊。此類網(wǎng)絡(luò)釣魚電子郵件包含受害者的信息,并且它們傾向于在文本和視覺上復(fù)制其偽裝公司所使用的風(fēng)格。它們很難被發(fā)現(xiàn),攻擊者會避免使用技術(shù)標(biāo)頭中的錯誤,并且不會使用可能導(dǎo)致其被阻止的電子郵件工具,例如開放電子郵件中繼或包含在阻止列表中的防彈托管服務(wù),以及基于DNS的阻止列表(DNSBL)。
相比之下,大規(guī)模網(wǎng)絡(luò)釣魚活動是針對大量收件人而設(shè)計(jì)的,郵件本質(zhì)上是通用的,不針對特定用戶,也不包含收件人的公司名稱或任何其他個性化詳細(xì)信息。錯別字、錯誤和糟糕的設(shè)計(jì)都很常見。如今的人工智能編輯工具可以幫助攻擊者寫得更好,但批量電子郵件中的文本和格式仍然偶爾不合標(biāo)準(zhǔn)。
面對沒有針對目標(biāo)的結(jié)構(gòu),攻擊者會在他們可用的整個電子郵件地址數(shù)據(jù)庫中開展活動。我們會發(fā)現(xiàn),里面的信息千篇一律,大多是公司折扣、熱門服務(wù)的安全警報(bào)、登錄問題等。
攻擊不斷演變:現(xiàn)實(shí)生活中的例子
與其他類型的電子郵件釣魚不同,魚叉式網(wǎng)絡(luò)釣魚從來都不是大規(guī)模攻擊的工具。然而,當(dāng)我們在2023年末研究用戶請求時,發(fā)現(xiàn)檢測結(jié)果在統(tǒng)計(jì)分布上存在異常。研究人員發(fā)現(xiàn)的很多電子郵件都無法歸類為針對性或大眾導(dǎo)向。它們擁有優(yōu)質(zhì)的設(shè)計(jì)、目標(biāo)公司的個性化細(xì)節(jié)以及模仿人力資源通知的風(fēng)格,盡管如此,這些活動過于激進(jìn),發(fā)送規(guī)模過于龐大,不足以被歸類為魚叉式網(wǎng)絡(luò)釣魚。
人力資源網(wǎng)絡(luò)釣魚電子郵件:正文提到公司,收件人以姓名稱呼,內(nèi)容足夠?qū)I(yè),足以讓警惕的用戶也察覺不出異樣
此外,該郵件還鏈接到一個典型的虛假Outlook登錄表單。該表單并未根據(jù)目標(biāo)公司的風(fēng)格進(jìn)行定制—這肯定是批量網(wǎng)絡(luò)釣魚的跡象。
用戶點(diǎn)擊電子郵件中的鏈接時打開的網(wǎng)絡(luò)釣魚登錄表單
另一個類似的活動使用所謂的幽靈欺騙,這種欺騙會在發(fā)件人姓名中添加真實(shí)的公司電子郵件地址,但不會隱藏或修改實(shí)際域名。這種技術(shù)在有針對性的攻擊中越來越多地使用,但對于大規(guī)模網(wǎng)絡(luò)釣魚來說,它有點(diǎn)矯枉過正。
使用幽靈欺騙的人力資源釣魚電子郵件:發(fā)件人的姓名包含人力資源團(tuán)隊(duì)的電子郵件地址,使電子郵件顯得尤為真實(shí)
與上例一樣,電子郵件中的網(wǎng)絡(luò)釣魚鏈接不具備魚叉式網(wǎng)絡(luò)釣魚鏈接所具有的任何獨(dú)特功能。打開的登錄表單不包含任何個性化詳細(xì)信息,而設(shè)計(jì)看起來與許多其他此類表單完全相同。它托管在IPFS服務(wù)上,就像那些經(jīng)常用于大規(guī)模攻擊的服務(wù)一樣。
IPFS網(wǎng)絡(luò)釣魚登錄表單
2024年3月至5月混合釣魚電子郵件數(shù)量
分析發(fā)現(xiàn),2024年3月至5月期間,此類混合攻擊的數(shù)量大幅增加。首先,這表明攻擊者使用的工具越來越復(fù)雜和精密。當(dāng)今的技術(shù)降低了大規(guī)模發(fā)起個性化攻擊的成本,人工智能工具可以將電子郵件正文設(shè)計(jì)成正式的人力資源請求,修復(fù)拼寫錯誤并創(chuàng)建簡潔的設(shè)計(jì)。我們還觀察到第三方魚叉式網(wǎng)絡(luò)釣魚服務(wù)的激增,這也提醒用戶需提高警惕,并建立更強(qiáng)大的企業(yè)安全基礎(chǔ)設(shè)施。
總結(jié)
攻擊者越來越多地在批量網(wǎng)絡(luò)釣魚活動中采用魚叉式網(wǎng)絡(luò)釣魚方法和技術(shù),他們發(fā)送的電子郵件越來越個性化,欺騙技術(shù)和策略的范圍也在不斷擴(kuò)大。這些仍然是群發(fā)電子郵件活動,因此存在潛在威脅。
這需要人們必須跟上技術(shù)發(fā)展的步伐,進(jìn)行防護(hù)措施,同時結(jié)合各種方法和服務(wù)來對抗每種類型的網(wǎng)絡(luò)釣魚。
有效抵御結(jié)合了魚叉式和群發(fā)式網(wǎng)絡(luò)釣魚元素的電子郵件攻擊:
·注意發(fā)件人的地址和實(shí)際的電子郵件域:在官方公司電子郵件中,這兩個必須匹配。
·如果發(fā)現(xiàn)有釣魚嫌疑,請要求發(fā)件人澄清,但不要只是回復(fù)電子郵件,使用不同的溝通渠道。
·定期對團(tuán)隊(duì)進(jìn)行安全意識培訓(xùn),增強(qiáng)員工有關(guān)電子郵件釣魚的知識。
·有足夠預(yù)算的話可以使用包含反垃圾郵件過濾和保護(hù)的高級安全解決方案。
參考及來源:https://securelist.com/spear-phishing-meets-mass/113125/