威瑞森最新的《數據洩露調查報(bào)告》指出:社會(huì)工(gōng)程對目标用戶的有效程度依然令人心驚,2016年(nián)超過30%的網絡釣魚消息都被打開(kāi)了——2014年(nián)釣魚消息打開(kāi)比例僅為(wèi)24%。甚至有專家稱,沒有任何一(yī)個(gè)地區、行業(yè)或公司可以躲過網絡釣魚。
進一(yī)步分析發現,憑證滲漏和交易秘密盜竊,依然是黑(hēi)客的主要動機(jī),而網絡釣魚的威脅正處于令人擔心的上(shàng)升過程。非營利組織“反網絡釣魚工(gōng)作組(APWG)”的發現印證了該觀點。APWG發現零售業(yè)是最常被鎖定的目标,有記錄的攻擊就(jiù)超過了40%。
AOL、盜版軟件(jiàn)與網絡釣魚的起源
社會(huì)工(gōng)程技(jì)術(shù)一(yī)直就(jiù)是犯罪教科書的一(yī)部分;最早的網絡釣魚案例,發生(shēng)在20多(duō)年(nián)前。90年(nián)代初期,攻擊者将曾經流行的AOL平台鎖定為(wèi)目标,使用即時消息誘騙用戶透露他們的口令。
這些攻擊者鎖定高(gāo)價值目标的耗時不算(suàn)太長(cháng),毫無戒備的受害者在“不驗證賬單信息就(jiù)馬上(shàng)删除賬戶”的壓力之下(xià),往往很快就(jiù)什麽都吐露了。進一(yī)步演化,犯罪團夥不僅能(néng)獲得受害者的AOL憑證,他們的銀(yín)行賬号和支付卡信息也不能(néng)幸免。
AOL強化了他們的反欺詐行動,實現新方法以主動删除涉嫌網絡釣魚的賬戶。這是決定性的一(yī)擊,迫使攻擊者轉而搜索新的機(jī)會(huì)。
犯罪活動
網絡釣魚伴随著(zhe)粗制濫造的電(diàn)子郵件(jiàn)進入主流,這些郵件(jiàn)滿是拼寫錯(cuò)誤、低(dī)分辨率的圖片和設計問題,用戶很容易就(jiù)能(néng)分辨出這些所謂的“迹象”。
同時,用戶也習慣于将拼寫錯(cuò)誤等同于網絡釣魚,而将拼寫、語法和展示無錯(cuò)的網站默認為(wèi)合法的。還(hái)有另一(yī)個(gè)慣性思維是,“HTTPS==100%安全”——研究人員(yuán)經常發現有威脅活動使用Let’sEncrypt憑證(使用域名驗證SSL)來灌輸危險的錯(cuò)誤安全感。
如果想了解網絡釣魚研究前沿,可以在推特上(shàng)粉“惡意軟件(jiàn)獵手團隊”。該團隊由@JAMESWT_MHT、@techhelplistcom和@demonslay335組成,發現并摧毀針對iCloud、PayPal和Facebook之類服務用戶的惡意活動。
WombatSecurityTechnologies在其開(kāi)篇的《網絡釣魚狀态》報(bào)告中提示了幾點意見(jiàn)。該調查報(bào)告發布于2016年(nián)1月(yuè),發現點擊率最高(gāo)的網絡釣魚活動涉及的話題,都是人們在日常工(gōng)作中經常遇到(dào)的那些,包括物(wù)流确認和HR文書。
有趣的是,雇員(yuán)在打開(kāi)以“快速緻富”計劃、獎勵和競賽為(wèi)噱頭的郵件(jiàn)時,反而更加謹慎。考慮到(dào)我們可以從(cóng)這些報(bào)告中抽取的普世經驗時,一(yī)個(gè)明顯的發現就(jiù)是,網絡釣魚依然是各種攻擊的主催化劑。
魚叉式網絡釣魚
過去10年(nián)裡(lǐ)最惡名昭彰的一(yī)些網絡犯罪,就(jiù)拿零售連鎖店、大學和銀(yín)行來說吧(ba),都是由某用戶打開(kāi)了一(yī)封魚叉式網絡釣魚郵件(jiàn)引發的。傳統網絡釣魚采用廣撒網戰術(shù),寄希望于中獎似的機(jī)會(huì),魚叉式網絡釣魚則是高(gāo)度針對性的。
技(jì)術(shù)研究公司VansonBourne将成功魚叉式網絡釣魚攻擊的平均經濟影響定位在160萬美元。利用收集到(dào)的信息和開(kāi)源情報(bào)(OSINT)饋送,黑(hēi)客為(wèi)精選出來的一(yī)小(xiǎo)部分雇員(yuán)精心編制個(gè)性化的誘餌郵件(jiàn)。
由于魚叉式網絡釣魚郵件(jiàn)如此與衆不同,傳統信譽和垃圾郵件(jiàn)過濾往往檢測不出其中包含的惡意内容。魚叉式網絡釣魚攻擊還(hái)能(néng)結合進發家僞造、多(duō)态URL和偷渡式下(xià)載來規避常規防護措施。
釣鲸和CEO詐騙
釣鲸,是用來描述專門(mén)針對單一(yī)高(gāo)調商業(yè)目标的網絡釣魚攻擊的。CEO、部門(mén)主管和其他高(gāo)管級員(yuán)工(gōng),代表著(zhe)公司的大魚。
釣鲸攻擊中,黑(hēi)客發送的郵件(jiàn)都帶有精心制作的托辭——往往圍繞“緊急電(diàn)彙”或金融交易編織而成。因此,釣鲸往往被等同于CEO詐騙和商業(yè)電(diàn)子郵件(jiàn)入侵(BEC)騙局。
新興技(jì)術(shù)
1.社交媒體欺騙
2016年(nián)末,Proofpoint報(bào)道了網絡罪犯冒用英國(guó)銀(yín)行客戶服務部門(mén)推特資料的事(shì)。這些高(gāo)級黑(hēi)客模仿了銀(yín)行員(yuán)工(gōng)的命名慣例、可見(jiàn)資産和特殊習慣。
網絡罪犯用與你真實客戶支持賬号相(xiàng)似的昵稱,創建極具可信度的虛假客戶服務賬号。然後,他們等待客戶向真實賬号求助。當你的客戶試圖聯系公司時,罪犯就(jiù)會(huì)通(tōng)過發自(zì)虛假支持頁面的虛假客戶支持鏈接來劫持對話。
這種别名為(wèi)“安康魚”的網絡釣魚攻擊方法(注意别與Angler漏洞利用工(gōng)具包搞混了),因為(wèi)客戶早已預期收到(dào)公司的回複,而成功率極高(gāo)。在最近的《社交媒體品牌欺詐報(bào)告》中,Proofpoint發現,與10家全球品牌有關的社交媒體賬号中,近20%都是虛假的。
PhishMe的2016第1季度《惡意軟件(jiàn)綜述》發現,有記錄的所有網絡釣魚郵件(jiàn)中,92%都含有某種加密勒索軟件(jiàn)。到(dào)了第3季度,該數字增長(cháng)到(dào)了97%。
研究人員(yuán)指出,Locky繼續領跑最靈活勒索軟件(jiàn)變種家族,犯罪團夥不斷精煉其構造和投放(fàng)方式。軟定位和廣分布攻擊的使用也是關鍵;“軟定位”部署的網絡釣魚,介于釣鲸攻擊和大規模網絡釣魚郵件(jiàn)之間。
PhishMe的報(bào)告,給讀(dú)者留下(xià)了令人不安的結論:
對勒索軟件(jiàn)的快速意識和關注,迫使攻擊者轉移和叠代他們的戰術(shù),無論攻擊載荷還(hái)是投放(fàng)方式。這一(yī)持續的韌性顯示出,僅僅意識到(dào)網絡釣魚和威脅,是不夠的。
3.Dropbox和GoogleDrive
基于雲存儲服務的網絡釣魚活動,比如GoogleDrive和Dropbox,已經存在好些年(nián)了。這些在形式上(shàng)通(tōng)常很傳統——用鏈接和暗(àn)示導引受害者到(dào)虛假登錄頁面。
最近就(jiù)有人遇到(dào)過罪犯将圖像僞裝成Gmail裡(lǐ)的PDF附件(jiàn),但實際上(shàng)就(jiù)是個(gè)導引用戶到(dào)谷歌(gē)賬戶釣魚網站的鏈接。
保持安全的6條建議:
1.避免回複可疑郵件(jiàn)或與發送者産生(shēng)聯系
2.自(zì)己打開(kāi)網站——不要點擊嵌入的鏈接或媒體
3.警惕含有催促或威脅意味的托辭
4.用帶外通(tōng)信核實請求和信息
5.檢查浏覽器(qì)以确保反網絡釣魚服務是啓用的
6.使用口令管理器(qì);不要跨多(duō)個(gè)網站重用同樣的口令