網(wǎng)絡(luò)釣魚是一種常見攻擊方法，對(duì)此，企業(yè)信息安全團(tuán)隊(duì)一直在教育用戶關(guān)于打開可疑電子郵件和附件的危害。

現(xiàn)在的網(wǎng)絡(luò)釣魚攻擊者非常善于創(chuàng)建極具吸引力的誘餌，專家稱單靠教育用戶已經(jīng)無法阻止這種最復(fù)雜的網(wǎng)絡(luò)釣魚攻擊。

案例分析：本周高級(jí)威脅檢測(cè)供應(yīng)商FireEye揭露了一個(gè)攻擊者團(tuán)伙FIN4，該團(tuán)伙自2013年中以來已經(jīng)攻擊超過100家企業(yè)。根據(jù)FireEye的報(bào)告顯示，F(xiàn)IN4主要專注于攻擊高級(jí)用戶的賬戶信息，這些用戶知道企業(yè)兼并重組、重大消息和其他尚未發(fā)生的重要事件，他們的潛在目標(biāo)是利用竊取的信息來在股市上獲得豐厚的利潤(rùn)。

新的復(fù)雜網(wǎng)絡(luò)釣魚攻擊

雖然對(duì)于攻擊者來說，特別是那些由民族國(guó)家支持的攻擊者，瞄準(zhǔn)正在進(jìn)行并購(gòu)交易的企業(yè)是很常見的事情，而FIN4與眾不同之處在于該組織用來繞過企業(yè)安全措施時(shí)使用的網(wǎng)絡(luò)釣魚誘餌非常復(fù)雜。其一，F(xiàn)IN4的網(wǎng)絡(luò)釣魚郵件顯現(xiàn)出英語(yǔ)國(guó)家居民水平的英語(yǔ)語(yǔ)言命令，這是大多數(shù)其他網(wǎng)絡(luò)釣魚郵件所缺少的方面。

FIN4還能夠使用針對(duì)性的語(yǔ)言來瞄準(zhǔn)特定組織或者個(gè)人，增加誘出所需回復(fù)的可能性。例如，F(xiàn)ireEye報(bào)告記錄了該團(tuán)伙的網(wǎng)絡(luò)釣魚活動(dòng)被模擬為舉報(bào)人式的電子郵件，告知企業(yè)高管有員工涉嫌泄露私有業(yè)務(wù)事宜到網(wǎng)上。

威脅情報(bào)反釣魚供應(yīng)商PhishLabs主管Don Jackson稱，F(xiàn)IN4執(zhí)行中涉及的細(xì)節(jié)是典型的頂級(jí)“捕鯨”攻擊，即企業(yè)個(gè)人被指控涉嫌魚叉式釣魚攻擊，因?yàn)樗麄兂钟袃r(jià)值信息或者在企業(yè)內(nèi)具有影響力。

Jackson表示，F(xiàn)IN4攻擊者費(fèi)了很多力氣來確保他們的網(wǎng)絡(luò)釣魚計(jì)劃中使用的誘餌會(huì)讓特定目標(biāo)感興趣。在某些情況下，他指出該團(tuán)伙只是簡(jiǎn)單地利用合法文檔，在其中插入了惡意Visual Basic for Application(VBA)宏來搜集賬戶信息，使得更容易欺騙不知情的最終用戶。

“FIN4攻擊者表現(xiàn)出很多的制度能力，他們了解在他們?cè)噲D滲透的環(huán)境中人員和系統(tǒng)如何交互的術(shù)語(yǔ)和流程、經(jīng)驗(yàn)，并明白有針對(duì)性資產(chǎn)的特定價(jià)值，”Jackson表示，“如果目標(biāo)的價(jià)值如實(shí)，我們會(huì)看到誘餌是完美和經(jīng)得起考驗(yàn)的。”

發(fā)給企業(yè)高管的FIN4網(wǎng)絡(luò)釣魚電子郵件

FIN4并不是唯一的高級(jí)網(wǎng)絡(luò)釣魚者

雖然FIN4使用的網(wǎng)絡(luò)釣魚手段毫無疑問很復(fù)雜，但Jackson也警告企業(yè)，他們并不是利用這種手段的唯一攻擊者。

例如，Jackson表示最近的US-CERT公告介紹了在最近的網(wǎng)絡(luò)釣魚活動(dòng)中所使用的Dyre/Dyreza銀行惡意軟件。US-CERT稱，這些釣魚攻擊針對(duì)不同的個(gè)人使用了不同的誘餌，包括換出附件、有效載荷和主體，不過釣魚者特別喜歡利用惡意PDF附件來瞄準(zhǔn)過時(shí)版本的Adobe Reader軟件。

Dyre惡意軟件本身不僅能夠收集賬戶信息，還可以監(jiān)控企業(yè)網(wǎng)絡(luò)流量和繞過Web瀏覽器中的SSL機(jī)制。相較于Dyre和高級(jí)網(wǎng)絡(luò)釣魚攻擊中常見的遠(yuǎn)程訪問木馬程序，Jackson表示，F(xiàn)IN4利用的VBA宏實(shí)際上相當(dāng)簡(jiǎn)陋，并可能導(dǎo)致該團(tuán)伙被檢測(cè)。

“FIN4電子郵件的水平讓我想起Dyre背后的攻擊者針對(duì)一些大型金融機(jī)構(gòu)和投資公司所使用的電子郵件，”Jackson表示，“最近攻擊者通過電子郵件進(jìn)行的電匯發(fā)票詐騙也顯現(xiàn)了類似的針對(duì)性和偵察水平。這些攻擊者也具有顯著的制度能力，但沒有表現(xiàn)出于FIN4攻擊相同的執(zhí)行技巧。”

抵御高級(jí)釣魚攻擊

對(duì)于企業(yè)應(yīng)該如何防御這種高級(jí)網(wǎng)絡(luò)釣魚攻擊，Jackson稱，反釣魚措施也逐漸成為一種“智力游戲”， FIN4和其他攻擊團(tuán)伙顯示的多樣化功能、操作復(fù)雜性和決心，都意味著企業(yè)不能只靠用戶教育來抵御攻擊。

Jackson表示，企業(yè)應(yīng)該收集FireEye在其報(bào)告中提到的誘騙郵件和攻擊指標(biāo)的數(shù)據(jù)，并可以對(duì)這些數(shù)據(jù)進(jìn)行分析以確定攻擊者如何執(zhí)行攻擊、是否使用惡意軟件以及哪些軟件被瞄準(zhǔn)。

“這樣一來，企業(yè)就可以調(diào)整風(fēng)險(xiǎn)管理和安全態(tài)勢(shì)，而有針對(duì)性的個(gè)人也可以得到提前警告，”Jackson表示，“還可以了解威脅攻擊者的足夠信息，以更有效地應(yīng)對(duì)威脅。”