信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

越來越多接受過安全意識培訓(xùn)的員工不再輕易點擊郵件中的可疑鏈接，但是網(wǎng)絡(luò)釣魚攻擊者又找到了新的方法：二維碼釣魚郵件。

近日，安全公司Inky的研究人員發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚攻擊者開始發(fā)送大量包含二維碼圖片的釣魚郵件，這些電子郵件將二維碼嵌入郵件正文，以成功繞過安全保護(hù)，并可針對目標(biāo)進(jìn)行某種程度的定制，從而更容易欺騙收件人。

研究人員表示，在許多情況下，這些釣魚郵件來自收件人工作的企業(yè)內(nèi)部被盜電子郵件賬戶，這種來自內(nèi)部（可信）郵件地址的釣魚郵件會進(jìn)一步提高攻擊的成功率。

Inky檢測到的二維碼釣魚郵件的主題大多是要求員工解決安全問題（下圖），例如缺少雙因素身份驗證注冊或更改密碼，并警告如果收件人未能及時操作，可能會產(chǎn)生后果。上當(dāng)受騙的員工會用手機掃描郵件中的二維碼并被引導(dǎo)至一個偽裝成該公司合法站點的釣魚網(wǎng)站，用戶在釣魚網(wǎng)站輸入的賬戶密碼會被發(fā)送給攻擊者。

研究人員指出，此類二維碼釣魚郵件多為“噴射攻擊”，攻擊者會將郵件發(fā)送給盡可能多的目標(biāo)用戶，以期待提高攻擊成功率。Inky的研究人員觀察到多個行業(yè)都受到了二維碼釣魚郵件的攻擊。在Inky檢測到的545封二維碼釣魚郵件中，目標(biāo)受害者主要位于美國和澳大利亞，其中包括非營利組織、多家財富管理公司、管理顧問、土地測量師、建材公司等。

二維碼釣魚郵件的兩大特點

首先，二維碼釣魚郵件郵件不包含任何文本，只有一個圖片文件附件，能夠繞過基于文本分析的電子郵件安全方案。由于默認(rèn)情況下，某些電子郵件程序和服務(wù)會自動直接在正文中顯示附件圖片，收件人通常不會意識到自己看到的郵件“正文”實際上是圖片（不包含文本）。

二維碼釣魚郵件的另一個顯著特征是：圖像中嵌入了一個二維碼，指向憑證收集站點。這加快的訪問釣魚站點的速度，并能夠有效降低員工意識到問題的可能性。二維碼指向的釣魚網(wǎng)站往往還會在登錄框的用戶名字段中預(yù)填收件人的電子郵件地址，這進(jìn)一步產(chǎn)生安全錯覺，讓員工相信釣魚網(wǎng)站是合法站點。

對于注重隱私的人來說，修改電子郵件設(shè)置阻止加載遠(yuǎn)程存儲的圖像不但是可行的，而且是值得推薦的。釣魚郵件攻擊者通過使用外部圖像來確定他們發(fā)送的消息是否已被打開，因為收件人的設(shè)備會與托管圖像的服務(wù)器建立連接。一些電子郵件服務(wù)，例如Gmail和Thunderbird不會在正文中顯示附件圖片，但其它很多郵件客戶端或服務(wù)會顯示圖片附件。如果可能，建議企業(yè)和個人關(guān)閉此類客戶端或服務(wù)的圖片顯示功能。（編者：禁止在電子郵件正文中顯示圖片是柄雙刃劍，可能會產(chǎn)生用戶體驗問題或麻煩。）

二維碼釣魚郵件的防范

對于二維碼釣魚郵件的防御，安全專家們給出如下建議：

●格外警惕含有二維碼的電子郵件

●通過其它渠道（即通過電子郵件以外的渠道）與發(fā)件人核實，確認(rèn)消息是否真實

●小心檢查發(fā)件人地址，確保電子郵件來自其聲稱的地址

●單擊電子郵件正文，查看是否可以復(fù)制和粘貼文本。如果沒有可復(fù)制的文本，需要格外警惕

●在相關(guān)網(wǎng)絡(luò)安全意識培訓(xùn)中增加對新型釣魚郵件內(nèi)容和攻擊方法的培訓(xùn)內(nèi)容

人們往往誤以為網(wǎng)絡(luò)釣魚攻擊并不復(fù)雜，只要稍加注意（培訓(xùn)）就能避免上當(dāng)受騙。事實上，調(diào)查研究表明網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊最有效和最具成本效益的手段之一。根據(jù)AGG IT Services的數(shù)據(jù)，全球每天發(fā)送高達(dá)34億封垃圾郵件，而Tessian的數(shù)據(jù)顯示，四分之一的員工表示他們在工作中點擊過網(wǎng)絡(luò)釣魚電子郵件。

無論企業(yè)投入多少預(yù)算構(gòu)筑強大的網(wǎng)絡(luò)安全防線，都可能因為一封釣魚郵件而土崩瓦解。因此，企業(yè)安全團隊需要對新型釣魚郵件攻擊的技術(shù)和策略保持高度關(guān)注。