火眼2019年第二季度進(jìn)行了郵件安全調(diào)查，以下是調(diào)查中人們最關(guān)心的問(wèn)題：

• 假冒攻擊，BEC(商務(wù)郵件泄露)。
• 用戶電子郵件帳戶泄露，被盜賬戶用于還款。
• 來(lái)自可信第三方的網(wǎng)絡(luò)釣魚電子郵件。
• 用戶不確定電子郵件是否為網(wǎng)絡(luò)釣魚。
• 用戶在移動(dòng)設(shè)備上發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件的能力。

前文對(duì)前兩個(gè)問(wèn)題進(jìn)行了分析討論并給出了一定的建議，接下來(lái)會(huì)對(duì)其余的三個(gè)問(wèn)題進(jìn)行探討，并提供解決問(wèn)題的建議。

目標(biāo)網(wǎng)絡(luò)釣魚攻擊

只要電子郵件一直是安全人員和企業(yè)公司最關(guān)心的問(wèn)題，雖然有些網(wǎng)絡(luò)釣魚活動(dòng)相當(dāng)復(fù)雜，例如APT29的入侵活動(dòng)，但其他電子郵件攻擊相比非常簡(jiǎn)單，并且仍然具有較高的成功率。

2019年第一季度電子郵件威脅報(bào)告發(fā)現(xiàn)，與2018年第四季度相比，網(wǎng)絡(luò)釣魚增加了17%。因此，企業(yè)關(guān)注的問(wèn)題中有三個(gè)與網(wǎng)絡(luò)釣魚有關(guān)。如圖1所示，自2017年以來(lái)，我們觀察到惡意電子郵件(如帶有導(dǎo)致釣魚網(wǎng)站的URL的電子郵件)數(shù)量在增加，帶有包含惡意軟件附件的電子郵件數(shù)量在減少。這種趨勢(shì)一直延續(xù)到今天。

圖1

如圖2所示，網(wǎng)絡(luò)釣魚攻擊的范圍很廣。在橫軸左端，攻擊者使用非目標(biāo)、高容量的網(wǎng)絡(luò)釣魚攻擊。他們希望廣泛的網(wǎng)絡(luò)釣魚方法來(lái)實(shí)現(xiàn)對(duì)目標(biāo)的突破并獲得經(jīng)濟(jì)上的回報(bào)。橫軸向右，攻擊者會(huì)使用社會(huì)工程來(lái)識(shí)別和分析受害者。他們利用諸如LinkedIn個(gè)人資料和Facebook帳戶等現(xiàn)成的在線信息來(lái)定制針對(duì)目標(biāo)的釣魚郵件(圖3)。

圖2

圖3

攻擊者利用從互聯(lián)網(wǎng)上收集的信息來(lái)識(shí)別會(huì)計(jì)等相關(guān)部門的員工，然后針對(duì)目標(biāo)個(gè)性化定制電子郵件的內(nèi)容。攻擊者將個(gè)性化電子郵件發(fā)送給目標(biāo)集團(tuán)組織中特定角色、管理員等特定目標(biāo)，在會(huì)計(jì)或信息技術(shù)部門中特定目標(biāo)通常具有較高權(quán)限。

雖然收集受害者信息需要前期投入大量時(shí)間，但更具針對(duì)性的釣魚方法通常會(huì)可以有更高的成功率。

可信第三方網(wǎng)絡(luò)釣魚電子郵件

基于云的應(yīng)用程序(如Microsoft Office 365)的流行使得關(guān)聯(lián)的登錄頁(yè)面成為憑證釣魚的目標(biāo)，每個(gè)Microsoft應(yīng)用程序，包括Outlook和OneDrive，都有一個(gè)不同的登錄頁(yè)面，Microsoft是攻擊者使用最高的釣魚程序(圖4)。這些欺騙(網(wǎng)絡(luò)釣魚)頁(yè)面之所以如此令人信服，一個(gè)原因是，包含指向網(wǎng)絡(luò)釣魚頁(yè)面URL的電子郵件看起來(lái)是合法的，并且是從受信任的程序廠商發(fā)送的。

圖4

用戶不確定電子郵件是否為網(wǎng)絡(luò)釣魚

用戶對(duì)電子郵件是合法的還是釣魚郵件的不確定性是2019年第一季度強(qiáng)調(diào)的首要問(wèn)題之一。

雖然個(gè)性化定制的電子郵件具有很高的成功率，但許多網(wǎng)絡(luò)罪犯發(fā)現(xiàn)了一種更有效的技術(shù)。通過(guò)在假冒電子郵件中包含一個(gè)網(wǎng)絡(luò)釣魚鏈接，攻擊者可以向多目標(biāo)發(fā)送模糊的電子郵件，并且仍然可以從中獲益。

攻擊者偽造友好的顯示名稱，使其看起來(lái)像是從熟人發(fā)送的(圖5)。例如，受信任的支付公司的電子郵件地址。很多時(shí)候用戶沒有注意到badactor@opteary.com的真實(shí)電子郵件地址，認(rèn)為它是另一個(gè)合法收件人。用戶有時(shí)會(huì)感覺郵件和平時(shí)收到的郵件有所不同，但無(wú)法準(zhǔn)確地指出問(wèn)題所在，這會(huì)導(dǎo)致用戶不確定電子郵件是合法的還是網(wǎng)絡(luò)釣魚。

圖5

移動(dòng)設(shè)備釣魚郵件

雖然在移動(dòng)設(shè)備上讀取的電子郵件已成為查看郵件的主要方式，超過(guò)了Webmail和桌面客戶端。

如圖5和圖6所示，合法的電子郵件地址是badactor@opentary.com，友好的顯示名稱joe.smith@companypayment.com，乍一看就產(chǎn)生了電子郵件來(lái)自companypayments.com的假象。電子郵件顯示名稱是一個(gè)用戶定義的標(biāo)簽，用于提供發(fā)件人的可識(shí)別描述。MobileOutlook客戶端默認(rèn)僅顯示友好的顯示名稱，該名稱恰好是joe.smith@companypayments.com，而不是joe smith。

圖6&圖7

如圖7所示，當(dāng)在移動(dòng)電子郵件客戶端上瀏覽時(shí)，消息預(yù)覽使顯示名稱更具說(shuō)服力，實(shí)際上，電子郵件來(lái)自badaactor@opentary.com。

冒名頂替者使用的真實(shí)電子郵件地址在許多移動(dòng)電子郵件客戶端中不易查看，因?yàn)闉榱朔奖闫鹨姡鼈兡J(rèn)為友好的顯示名稱(圖8)。

雖然非常方便，但是移動(dòng)設(shè)備有一個(gè)缺點(diǎn)：更小的顯示屏使得區(qū)分合法網(wǎng)頁(yè)和網(wǎng)絡(luò)釣魚網(wǎng)頁(yè)變得更加困難。例如，網(wǎng)絡(luò)釣魚網(wǎng)頁(yè)可能帶有值得信賴的品牌標(biāo)志，但在小屏幕上很難注意到設(shè)計(jì)上的細(xì)微變化。

圖8

圖9

類似地，在移動(dòng)端很難發(fā)現(xiàn)URL中包含一個(gè)額外的字母或相似的數(shù)字來(lái)代替正確的字母(同形符號(hào))。移動(dòng)用戶無(wú)法將鼠標(biāo)懸停在URL上，這使得許多用戶很難區(qū)分合法網(wǎng)站和克隆網(wǎng)站。如圖9所示，攻擊者使用克隆云服務(wù)(如Office365)的登錄頁(yè)面來(lái)竊取公司憑證。

當(dāng)網(wǎng)絡(luò)釣魚攻擊被包裝在一個(gè)移動(dòng)設(shè)備端假冒郵件中時(shí)，攻擊者可以很容易地操縱友好的顯示名稱(如圖5和圖6中的JoeSmith)來(lái)冒充公司高管。因?yàn)橛押玫娘@示名稱通常是默認(rèn)情況下在移動(dòng)設(shè)備上顯示的關(guān)于發(fā)送者的唯一信息，如果用戶不小心，就很有可能會(huì)被欺騙。圖5顯示了從桌面客戶端查看的電子郵件時(shí)假冒的電子郵件地址。

當(dāng)我們相信正在與一個(gè)值得信賴的人溝通時(shí)，例如我們的老板、公司高管、朋友或家人，我們更可能點(diǎn)擊電子郵件中的URL或附件。

建議

技術(shù)和用戶教育雙管齊下是針對(duì)目標(biāo)網(wǎng)絡(luò)釣魚攻擊的最佳防御。電子郵件安全解決方案減少了下載惡意軟件或點(diǎn)擊惡意URL的人為因素。但是，如果可疑電子郵件潛入用戶的收件箱，經(jīng)過(guò)培訓(xùn)的員工則會(huì)成為第二層防御。

為了更好地做好防御準(zhǔn)備，可以選擇如下的電子郵件安全解決方案：

• 投資研究惡意軟件
• 快速更迭防護(hù)措施，以檢測(cè)最新的假冒技術(shù)和網(wǎng)絡(luò)釣魚攻擊
• 基于從防御設(shè)備截獲攻擊行為獲得的實(shí)時(shí)知識(shí)構(gòu)建檢測(cè)能力

其次，需要花時(shí)間培訓(xùn)用戶如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件，以確保他們與正確的人進(jìn)行通信而不是攻擊者。