就全球足迹而言,很少有网络犯罪领域能与网络钓鱼相提并论。FBI表示,2020 年向其互联网犯罪投诉中心 (IC3) 提交的受害者报告数量最多。组织因商业电子邮件泄露(一种特殊的网络钓鱼形式)而蒙受的经济损失高达去年减少了 18 亿美元。根据Verizon 的报告,2021 年记录的数据泄露中有 36% 涉及网络钓鱼。
是什么让这种犯规行为如此有利可图?这归结为人为因素,这是一般企业数字化态势中最薄弱的环节。网络骗子最常利用的不是软件或硬件漏洞。是用户,他们有痛点、易受骗和缺乏安全意识。
值得庆幸的是,电子邮件过滤器在识别和阻止试图欺骗收件人点击传染性链接、下载恶意附件或泄露敏感信息的邮件方面越来越有效。在这种情况下,网络钓鱼者正在策划新的技巧来绕过这些障碍。
- 模仿世界著名金融组织的电子邮件
- 伪装的恶意 ZIP 文件
- 使用外语混淆保护工具
- 逆向 HTML 代码
- 将被黑的 SharePoint 帐户武器化
- 您是否足够警惕以抵御网络钓鱼攻击?
模仿世界著名金融组织的电子邮件
在2020 年夏季爆发的一场运动中,一个网络犯罪团伙以假冒花旗集团或美国银行等主要银行的欺骗性信息为目标的公司。这些电子邮件指示收件人在伪装成他们正在使用其服务的金融机构的官方网站的页面上更新他们的个人信息。为了看起来合法,欺诈涉及一个间隙网页,要求用户指定他们的安全挑战问题。
许多网络钓鱼保护工具允许这些电子邮件到达目标,尽管它们来自@yahoo.com 而不是银行的实际域,这是应该立即发出危险信号的事情。为何如此?
首先,这个骗局只针对一家公司的少数员工。由于传统的电子邮件过滤器正在寻找许多具有可疑内容的相同或相似邮件,因此有几封邮件很可能未被发现。
事实上,这些电子邮件是从个人雅虎帐户发送的,这也给工作带来了麻烦。这是因为基于域的消息身份验证、报告和一致性 (DMARC) 和发件人策略框架 (SPF) 等经典验证机制无法识别域欺骗企图。
最后,该银行的山寨网站在骗局开始前不久就已经注册,因此还没有被列入黑名单。它还使用了有效的 TLS 证书。这些简单的技术,加上邮件正文中的一些压力,让网络钓鱼浪潮得以传播,并欺骗一些收件人交出他们的机密数据。
伪装的恶意 ZIP 文件
如果熟悉 ZIP 格式原理,您可能知道 End of Central Directory (EOCD)。它表示档案结构的最后一个元素。在理想情况下,这些压缩文件包包含单个 EOCD 值。然而,恶意行为者已经学会了使用两个平行结构创建档案,其中一个隐藏在众目睽睽之下。
安全电子邮件网关 (SEG) 具有解压缩功能,可在用户打开之前检查所有 ZIP 文件。然而,在双 EOCD 场景中,唯一可供检查的部分是无害的“红鲱鱼”结构,它以优异的成绩通过了所有检查。同时,混淆层次结构在幕后加载,在收件人的计算机上执行远程访问工具 (RAT)。
使用外语混淆保护工具
大多数反网络钓鱼系统都配置为识别英语或客户公司语言的网络钓鱼模板以进行业务通信。为了避开这个障碍,一些骗子用俄语发送电子邮件,并包含一个鼓励潜在受害者使用在线翻译服务的短语。因此,这些消息可以毫无阻碍地到达收件箱,过度好奇的用户可能会在阅读翻译后的文本后上钩。
逆向 HTML 代码
此类网络犯罪的另一个策略涉及更改消息源代码中的文本方向。这样,电子邮件过滤器就会忽略它,因为它的结构不会与已知的网络钓鱼样本重叠。当收到这样的电子邮件时,它会正确地呈现给用户。
为达到这一目的,黑帽黑客通常会错误处理层叠样式表 (CSS),这是一种指定 HTML 元素应如何在屏幕上呈现的编程工具。它允许将拉丁文和阿拉伯文文本合并到同一封电子邮件的代码中,并可以互换使用这两种格式。这些脚本以相反的方向流动的事实使得更容易实现背信弃义的逆转。
将被黑的 SharePoint 帐户武器化
检查可疑链接的消息是 SEG 保护逻辑不可分割的组成部分,作恶者知道这一点。为了避开这种机制,他们可能会嵌入合法云服务的 URL。例如,网络钓鱼者经常利用他们未经授权访问的 SharePoint 网站。电子邮件过滤器信任托管在 Microsoft 协作平台上的资源,因此此类邮件可以顺利到达受害者的收件箱。
如果用户通过单击据称指向重要工作文档的链接上当受骗,他们将看到一个内容难以理解的恶意 OneNote 文件。为了阅读它,该人被指示点击另一个超链接,在几次网络重定向后,该链接将他带到一个伪装成 OneDrive for Business 登录门户的凭据钓鱼页面。可以预见的是,在那里输入的身份验证详细信息最终会落入犯罪分子之手。
您是否足够警惕以抵御网络钓鱼攻击?
使用反网络钓鱼工具是成功的一半。这些解决方案会筛选所有传入的电子邮件,并自动阻止大多数社交工程尝试。问题在于威胁行为者不断想出新方法来欺骗这些防御措施。因此,大量的保护取决于您。以下建议将帮助您避免危险:
- 不要点击电子邮件中嵌入的链接,即使它们看起来值得信赖。
- 不要加载陌生人发送的电子邮件附件。
- 在登录表单中输入您的用户名和密码之前,请确定该页面使用加密连接 (HTTPS)。
- 如果一封电子邮件冒充受信任的组织并要求您提供个人信息,请检查是否有拼写错误和其他错误——这些都是骗局的明显迹象。
- 忽略告诉您紧急做某事的消息。
- 收到同事的电汇请求后,请务必加倍确保其合法性。给对方打电话或当面讨论这件事并没有什么坏处。
- 不要在社交网络上发布过多的个人数据,因为它可以用来建立您的个人资料并策划高效的有针对性的网络钓鱼攻击。
- 启用防火墙并使用具有网络钓鱼防护功能的安全应用程序。
回顾一下,电子邮件过滤器不能完全保护您和您的组织免受网络钓鱼的危害。其中一些消息无疑会绕过这一层保护,结果就取决于您的安全意识了。来自信誉良好的网络主机的电子邮件托管可以帮助您降低网络钓鱼防护等服务的网络钓鱼风险。要成为一个移动的目标,请使用上述提示,并且永远不要停止磨练您识别此类欺诈的能力。