信息化觀察網(wǎng)

來自GreatHorn的研究人員報(bào)告說，他們已經(jīng)觀察到了犯罪分子通過構(gòu)造"畸形的URL前綴"來逃避安全軟件的防護(hù)，發(fā)送釣魚郵件進(jìn)行攻擊的次數(shù)增加了近6000%。除非你仔細(xì)觀察URL前綴中使用的符號，要不然，它們看起來是非常合法的。

研究人員在一篇關(guān)于他們的研究發(fā)現(xiàn)的博客文章中說："這些URL是畸形的，沒有利用正常的URL協(xié)議，比如http://或https://，相反，他們在其URL前綴中使用的是http:/"。

GreatHorn在報(bào)告中解釋說，URL地址中的斜線在很大程度上來講是多余的，所以瀏覽器和許多掃描器甚至?xí)雎运鼈儭?/p>

Typosquatting是一種常見的釣魚郵件策略，即把常見的企業(yè)名稱拼錯，比如"amozon.com"。試圖誘導(dǎo)不細(xì)心的用戶點(diǎn)擊鏈接。研究人員解釋說，如今，大多數(shù)人都知道了這類電子郵件的詐騙方式，所以網(wǎng)絡(luò)犯罪分子也不得不研究出新的攻擊方式。

電子郵件保護(hù)工具會忽略URL前綴中的反斜杠

研究人員說："這些URL不符合常見的電子郵件掃描程序所包含的'已知的惡意鏈接'配置文件，程序會忽略對于它們的檢查。它們也可能會逃過用戶對鏈接的檢查，因?yàn)椴⒉皇敲總€(gè)人都會在URL前綴中尋找可疑的線索。"

研究人員報(bào)告說，他們在去年10月首次注意到了這種新的攻擊策略，并表示，自那時(shí)以來，這種攻擊策略就發(fā)展的非常迅速。他們說，1月至2月初的攻擊次數(shù)激增了6000%。

畸形前綴的URL攻擊是什么樣的？

GreatHorn提供了一封地址為”http:/brent.johnson.australiasnationalskincheckday.org.au//exr/brent.johnson impacteddomain.com”的畸形URL釣魚郵件的例子。

研究人員解釋說：“釣魚郵件似乎是由語音郵件服務(wù)發(fā)出的”。該團(tuán)隊(duì)報(bào)告說，該電子郵件包含了一個(gè)語音信息，播放Audi Date.wav文件，并且該鏈接會重定向到一個(gè)惡意網(wǎng)站。

他們解釋說："該網(wǎng)站甚至還包括一個(gè)reCAPTCHA的驗(yàn)證功能，這是在合法網(wǎng)站中常見的安全功能，這也顯示出了這種攻擊的復(fù)雜性和微妙性"。

報(bào)道稱，惡意網(wǎng)站頁面看起來像Office的登錄頁面，頁面要求輸入用戶名和密碼。一旦輸入，攻擊者就可以控制受害者的賬戶憑證。

報(bào)告補(bǔ)充說，Office 365用戶更有可能遭遇這種類型的攻擊，"其比例遠(yuǎn)高于將Google Workspace作為云電子郵件環(huán)境的組織"。

報(bào)告解釋說，使用這些惡意URL的攻擊者采用了多種策略來傳播他們的惡意軟件，這其中包括使用偽造的名稱冒充用戶公司內(nèi)部的電子郵件系統(tǒng)；通過從一個(gè)與企業(yè)沒有任何關(guān)系的地址發(fā)送郵件來避免安全掃描器的檢查；在釣魚郵件中嵌入一個(gè)鏈接，該鏈接會重定向打開一個(gè)新的網(wǎng)頁，同時(shí)使用一些語句描述讓用戶產(chǎn)生一種"緊迫感"。

該報(bào)告還建議"安全團(tuán)隊(duì)要盡快搜索其組織電子郵件中是否包含與模式（http:/）相匹配的URL的信息，并刪除其中所有相匹配的郵件"，防止其系統(tǒng)受到攻擊。

GreatHorn的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Kevin O'Brien告訴Threatpost，這些惡意URL攻擊可以通過使用那些能夠進(jìn)行細(xì)致分析的第三方解決方案來解決。

OBrien說："在過去五年中，有各種API原生解決方案進(jìn)入到市場中，許多解決方案都是專門針對那些傳統(tǒng)安全電子郵件網(wǎng)關(guān)和平臺無法分析或識別的威脅攻擊而設(shè)計(jì)的，這些解決方案提供了強(qiáng)大的安全保障，在用戶即將進(jìn)入一些危險(xiǎn)的網(wǎng)絡(luò)環(huán)境時(shí)會向用戶發(fā)出警報(bào)，比如我們在這次攻擊中所看到的情況。"

電子郵件網(wǎng)絡(luò)釣魚詐騙很常見

該報(bào)告是在網(wǎng)絡(luò)釣魚詐騙特別猖狂的時(shí)期發(fā)布的。Proofpoint最近發(fā)布的2020年網(wǎng)絡(luò)釣魚狀態(tài)顯示，美國的網(wǎng)絡(luò)釣魚攻擊在過去一年中猛增了14%。

Proofpoint高級副總裁兼安全意識培訓(xùn)總經(jīng)理Alan LeFort說："全球的網(wǎng)絡(luò)攻擊者正在以便捷且復(fù)雜的通信方式進(jìn)行攻擊，其中最明顯的就是通過電子郵件渠道，電子郵件仍然是非常高級的攻擊載體，如何確保用戶能夠發(fā)現(xiàn)和報(bào)告那些試圖進(jìn)行的網(wǎng)絡(luò)攻擊是安全業(yè)務(wù)的關(guān)鍵，特別是用戶在遠(yuǎn)程工作時(shí)，通常會在一個(gè)不太安全的網(wǎng)絡(luò)環(huán)境中。雖然許多組織表示他們正在向員工進(jìn)行安全意識培訓(xùn)，但我們的數(shù)據(jù)顯示，大多數(shù)組織做得可能還不夠。"

本文翻譯自：https://threatpost.com/malformed-url-prefix-phishing-attacks-spike-6000/164132/