信息化觀察網(wǎng)

本文來(lái)自嘶吼專(zhuān)業(yè)版，作者/胡金魚(yú)。

據(jù)安全研究人員跟蹤發(fā)現(xiàn)，攻擊者開(kāi)始在批量網(wǎng)絡(luò)釣魚(yú)活動(dòng)中使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)策略。

介紹

批量網(wǎng)絡(luò)釣魚(yú)電子郵件活動(dòng)往往針對(duì)大量受眾。它們通常表現(xiàn)為籠統(tǒng)的措辭和簡(jiǎn)單的格式，拼寫(xiě)錯(cuò)誤也很常見(jiàn)。有針對(duì)性的攻擊攻擊者會(huì)發(fā)送包含個(gè)人詳細(xì)信息的個(gè)性化消息，使用戶(hù)看起來(lái)更像是從客戶(hù)那里收到的消息。大規(guī)模采用這種方法是需要付出十分昂貴的成本，然而，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的某些元素最近開(kāi)始用于常規(guī)的大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)。本文將介紹一些現(xiàn)實(shí)生活中的例子來(lái)說(shuō)明這一趨勢(shì)。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)與群體式網(wǎng)絡(luò)釣魚(yú)

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是一種針對(duì)特定個(gè)人或小群體的攻擊。此類(lèi)網(wǎng)絡(luò)釣魚(yú)電子郵件包含受害者的信息，并且它們傾向于在文本和視覺(jué)上復(fù)制其偽裝公司所使用的風(fēng)格。它們很難被發(fā)現(xiàn)，攻擊者會(huì)避免使用技術(shù)標(biāo)頭中的錯(cuò)誤，并且不會(huì)使用可能導(dǎo)致其被阻止的電子郵件工具，例如開(kāi)放電子郵件中繼或包含在阻止列表中的防彈托管服務(wù)，以及基于DNS的阻止列表(DNSBL)。

相比之下，大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)是針對(duì)大量收件人而設(shè)計(jì)的，郵件本質(zhì)上是通用的，不針對(duì)特定用戶(hù)，也不包含收件人的公司名稱(chēng)或任何其他個(gè)性化詳細(xì)信息。錯(cuò)別字、錯(cuò)誤和糟糕的設(shè)計(jì)都很常見(jiàn)。如今的人工智能編輯工具可以幫助攻擊者寫(xiě)得更好，但批量電子郵件中的文本和格式仍然偶爾不合標(biāo)準(zhǔn)。

面對(duì)沒(méi)有針對(duì)目標(biāo)的結(jié)構(gòu)，攻擊者會(huì)在他們可用的整個(gè)電子郵件地址數(shù)據(jù)庫(kù)中開(kāi)展活動(dòng)。我們會(huì)發(fā)現(xiàn)，里面的信息千篇一律，大多是公司折扣、熱門(mén)服務(wù)的安全警報(bào)、登錄問(wèn)題等。

攻擊不斷演變：現(xiàn)實(shí)生活中的例子

與其他類(lèi)型的電子郵件釣魚(yú)不同，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)從來(lái)都不是大規(guī)模攻擊的工具。然而，當(dāng)我們?cè)?023年末研究用戶(hù)請(qǐng)求時(shí)，發(fā)現(xiàn)檢測(cè)結(jié)果在統(tǒng)計(jì)分布上存在異常。研究人員發(fā)現(xiàn)的很多電子郵件都無(wú)法歸類(lèi)為針對(duì)性或大眾導(dǎo)向。它們擁有優(yōu)質(zhì)的設(shè)計(jì)、目標(biāo)公司的個(gè)性化細(xì)節(jié)以及模仿人力資源通知的風(fēng)格，盡管如此，這些活動(dòng)過(guò)于激進(jìn)，發(fā)送規(guī)模過(guò)于龐大，不足以被歸類(lèi)為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。

人力資源網(wǎng)絡(luò)釣魚(yú)電子郵件：正文提到公司，收件人以姓名稱(chēng)呼，內(nèi)容足夠?qū)I(yè)，足以讓警惕的用戶(hù)也察覺(jué)不出異樣

此外，該郵件還鏈接到一個(gè)典型的虛假Outlook登錄表單。該表單并未根據(jù)目標(biāo)公司的風(fēng)格進(jìn)行定制—這肯定是批量網(wǎng)絡(luò)釣魚(yú)的跡象。

用戶(hù)點(diǎn)擊電子郵件中的鏈接時(shí)打開(kāi)的網(wǎng)絡(luò)釣魚(yú)登錄表單

另一個(gè)類(lèi)似的活動(dòng)使用所謂的幽靈欺騙，這種欺騙會(huì)在發(fā)件人姓名中添加真實(shí)的公司電子郵件地址，但不會(huì)隱藏或修改實(shí)際域名。這種技術(shù)在有針對(duì)性的攻擊中越來(lái)越多地使用，但對(duì)于大規(guī)模網(wǎng)絡(luò)釣魚(yú)來(lái)說(shuō)，它有點(diǎn)矯枉過(guò)正。

使用幽靈欺騙的人力資源釣魚(yú)電子郵件：發(fā)件人的姓名包含人力資源團(tuán)隊(duì)的電子郵件地址，使電子郵件顯得尤為真實(shí)

與上例一樣，電子郵件中的網(wǎng)絡(luò)釣魚(yú)鏈接不具備魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鏈接所具有的任何獨(dú)特功能。打開(kāi)的登錄表單不包含任何個(gè)性化詳細(xì)信息，而設(shè)計(jì)看起來(lái)與許多其他此類(lèi)表單完全相同。它托管在IPFS服務(wù)上，就像那些經(jīng)常用于大規(guī)模攻擊的服務(wù)一樣。

IPFS網(wǎng)絡(luò)釣魚(yú)登錄表單

2024年3月至5月混合釣魚(yú)電子郵件數(shù)量

分析發(fā)現(xiàn)，2024年3月至5月期間，此類(lèi)混合攻擊的數(shù)量大幅增加。首先，這表明攻擊者使用的工具越來(lái)越復(fù)雜和精密。當(dāng)今的技術(shù)降低了大規(guī)模發(fā)起個(gè)性化攻擊的成本，人工智能工具可以將電子郵件正文設(shè)計(jì)成正式的人力資源請(qǐng)求，修復(fù)拼寫(xiě)錯(cuò)誤并創(chuàng)建簡(jiǎn)潔的設(shè)計(jì)。我們還觀察到第三方魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)服務(wù)的激增，這也提醒用戶(hù)需提高警惕，并建立更強(qiáng)大的企業(yè)安全基礎(chǔ)設(shè)施。

總結(jié)

攻擊者越來(lái)越多地在批量網(wǎng)絡(luò)釣魚(yú)活動(dòng)中采用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)方法和技術(shù)，他們發(fā)送的電子郵件越來(lái)越個(gè)性化，欺騙技術(shù)和策略的范圍也在不斷擴(kuò)大。這些仍然是群發(fā)電子郵件活動(dòng)，因此存在潛在威脅。

這需要人們必須跟上技術(shù)發(fā)展的步伐，進(jìn)行防護(hù)措施，同時(shí)結(jié)合各種方法和服務(wù)來(lái)對(duì)抗每種類(lèi)型的網(wǎng)絡(luò)釣魚(yú)。

有效抵御結(jié)合了魚(yú)叉式和群發(fā)式網(wǎng)絡(luò)釣魚(yú)元素的電子郵件攻擊：

·注意發(fā)件人的地址和實(shí)際的電子郵件域：在官方公司電子郵件中，這兩個(gè)必須匹配。

·如果發(fā)現(xiàn)有釣魚(yú)嫌疑，請(qǐng)要求發(fā)件人澄清，但不要只是回復(fù)電子郵件，使用不同的溝通渠道。

·定期對(duì)團(tuán)隊(duì)進(jìn)行安全意識(shí)培訓(xùn)，增強(qiáng)員工有關(guān)電子郵件釣魚(yú)的知識(shí)。

·有足夠預(yù)算的話可以使用包含反垃圾郵件過(guò)濾和保護(hù)的高級(jí)安全解決方案。

參考及來(lái)源：https://securelist.com/spear-phishing-meets-mass/113125/