電子郵件是應(yīng)用最廣泛的商業(yè)應(yīng)用程序，同時(shí)也是網(wǎng)絡(luò)安全事件的主要初始攻擊途徑，因?yàn)槠渲邪罅康纳虡I(yè)機(jī)密、個(gè)人身份信息（PII）、財(cái)務(wù)數(shù)據(jù)和其他對(duì)攻擊者有價(jià)值的敏感信息。

此外，電子郵件又是最難保護(hù)的應(yīng)用之一。如果保護(hù)很簡(jiǎn)單，就不會(huì)有那么多商業(yè)電子郵件妥協(xié)（BEC）造成高達(dá)500億美元損失的新聞，也不會(huì)有那么多某人被釣魚手段騙到并導(dǎo)致入侵的事件。一旦攻擊者成功滲透一個(gè)電子郵件賬戶，他們就可以橫向移動(dòng)并影響各種內(nèi)部系統(tǒng)。

為了研究關(guān)鍵的網(wǎng)絡(luò)釣魚趨勢(shì)，這一首次發(fā)布的Cloudflare《網(wǎng)絡(luò)釣魚威脅報(bào)告》評(píng)估了超過2.79億個(gè)電子郵件威脅指標(biāo)、2.5億封惡意電子郵件、近10億起品牌假冒事件，以及2022年5月到2023年5月期間處理的大約130億封電子郵件中收集的其他數(shù)據(jù)點(diǎn)，旨在幫助組織更好地應(yīng)對(duì)網(wǎng)絡(luò)釣魚威脅。

關(guān)鍵數(shù)據(jù)

• 欺騙性鏈接是網(wǎng)絡(luò)攻擊者使用的頭號(hào)手段，占威脅總數(shù)的6%；
• 電子郵件身份驗(yàn)證并不能完全阻止威脅。大多數(shù)（89%）有害郵件能夠“成功通過”SPF、DKIM或DMARC檢查；
• 攻擊者在其品牌模擬企圖中冒充了超過1000個(gè)不同的組織。然而，在大部分（7%）事件中，他們僅假冒了20個(gè)全球最大品牌之一。
• 身份欺騙威脅呈上升趨勢(shì)，占總威脅指標(biāo)的比例從去年的3%增長(zhǎng)到14.2%（3960萬）；
• 被冒充最多的品牌恰好是最受信任的軟件公司之一：Microsoft。其他被冒充最多的公司包括Google、Salesforce等；
• 90%的受訪安全決策者認(rèn)同釣魚威脅的類型和范圍正在擴(kuò)大，89%的受訪者對(duì)“多渠道”釣魚威脅表示擔(dān)憂。

電子郵件威脅分類

攻擊者通常會(huì)結(jié)合使用社交工程和技術(shù)策略，使他們的消息對(duì)收件人和收件人的電子郵件系統(tǒng)而言都看似合法。為此，Cloudflare使用了許多先進(jìn)的檢測(cè)技術(shù)來分析“模糊”信號(hào)（不僅僅是由肉眼可以看到的內(nèi)容），以識(shí)別不受歡迎的電子郵件。這些信號(hào)包括：

• 結(jié)構(gòu)分析，包括頭部、正文內(nèi)容、圖片、鏈接、附件、負(fù)載，利用啟發(fā)式算法和專門針對(duì)網(wǎng)絡(luò)釣魚信號(hào)而設(shè)計(jì)的機(jī)器學(xué)習(xí)模型；
• 情緒分析，檢測(cè)模式和行為的變化（例如，寫作模式和表達(dá)）；
• 信任圖譜，評(píng)估社交圖譜、電子郵件發(fā)送歷史和潛在的合作伙伴假冒。

以下是Cloudflare在2022年5月2日至2023年5月2日期間觀察到的熱門電子郵件威脅指標(biāo)的快照。研究人員將威脅指標(biāo)分為30多個(gè)不同的類別；在此期間，最主要的威脅指標(biāo)有欺騙性鏈接、域期限（新注冊(cè)的域名）、身份欺騙、憑據(jù)收集器和品牌假冒等。

【按威脅類別劃分的占比情況】

頭號(hào)威脅：欺詐性鏈接

欺騙性鏈接是第一大電子郵件威脅類別，占檢測(cè)結(jié)果的35.6%。它也是上一年（2021年5月至2022年4月）的第一大威脅類別，占所有威脅指標(biāo)的38.4%。

當(dāng)“認(rèn)識(shí)”的某人發(fā)來電子郵件時(shí)，點(diǎn)擊其中的鏈接是很自然的行為，尤其是當(dāng)這封電子郵件很及時(shí)且看似合法時(shí)。但是點(diǎn)擊錯(cuò)誤的鏈接可能會(huì)導(dǎo)致一些嚴(yán)重后果，例如：

• 憑據(jù)收集：如果受害者在攻擊者控制的網(wǎng)頁上輸入憑據(jù)，就會(huì)發(fā)生這種情況；
• 遠(yuǎn)程代碼執(zhí)行（RCE）：允許攻擊者安裝惡意軟件或勒索軟件，竊取數(shù)據(jù)，或進(jìn)行其他惡意操作；
• 網(wǎng)絡(luò)破壞：一次無意的點(diǎn)擊就可能導(dǎo)致橫向移動(dòng)，從而允許攻擊者控制并破壞整個(gè)網(wǎng)絡(luò)。

案例剖析

這場(chǎng)以DocuSign為主題的SVB（硅谷銀行）釣魚攻擊發(fā)生在2023年3月，攻擊者針對(duì)多個(gè)組織的數(shù)十個(gè)人發(fā)動(dòng)了攻擊（包括Cloudflare聯(lián) 合 創(chuàng) 始 人 兼 CEO Matthew Prince）。郵件中包含一個(gè)初始鏈接和一個(gè)深達(dá)四層的復(fù)雜重定向鏈。

如果用戶點(diǎn)擊了“查看文檔”鏈接，攻擊鏈就會(huì)開始執(zhí)行。該鏈接將用戶帶到由Sizmek（亞馬遜廣告服務(wù)器）運(yùn)行的可追蹤分析鏈接，其網(wǎng)址為bs[.]serving-sys[.]com。

然后，鏈接將用戶重定向到托管在na2signing[.]web[.]app域上的Google Firebase應(yīng)用程序na2signing[.]web[.]appHTML代碼，隨后將用戶重定向到一個(gè)運(yùn)行在eaglelodgealaska[.]com域上的WordPress網(wǎng)站，后者運(yùn)行著另一個(gè)重定向器。經(jīng)過最后一次重定向后，用戶將被發(fā)送到由攻擊者控制的docusigning[.]kirklandellis[.]net網(wǎng)站。

多渠道網(wǎng)絡(luò)釣魚的開端可能是一個(gè)“無害的”鏈接

研究發(fā)現(xiàn)，越來越多攻擊是通過多個(gè)通信渠道對(duì)用戶發(fā)動(dòng)的——通常最初是一個(gè)鏈接。研究人員將此類攻擊稱為“多渠道”網(wǎng)絡(luò)釣魚。調(diào)查顯示，有89%的安全決策者對(duì)多渠道釣魚威脅表示擔(dān)憂。

多渠道釣魚攻擊的一個(gè)例子涉及“延遲”攻擊，即在電子郵件首次發(fā)送時(shí)鏈接仍然是無害的。具體操作步驟如下：

• 攻擊者設(shè)置基礎(chǔ)設(shè)施（例如注冊(cè)域名、設(shè)置電子郵件身份驗(yàn)證和創(chuàng)建無害的網(wǎng)頁），為他們未來的釣魚嘗試做準(zhǔn)備。在這個(gè)節(jié)點(diǎn)，電子郵件系統(tǒng)無法檢測(cè)到任何攻擊的跡象。
• 攻擊者會(huì)從新創(chuàng)建的域名發(fā)送一封電子郵件，并在郵件中包含一個(gè)鏈接，指向仍然無害的網(wǎng)頁。電子郵件系統(tǒng)不會(huì)將其標(biāo)記為可疑。
• 電子郵件發(fā)送后，網(wǎng)頁被“武裝化”，例如通過更新網(wǎng)頁來包含一個(gè)虛假的登錄頁面以竊取憑據(jù)。
• 開始新一周工作時(shí)，員工看到電子郵件。一旦有人點(diǎn)擊鏈接并輸入憑據(jù)，攻擊就成功了。

案例剖析

2022年7月，Cloudflare安全團(tuán)隊(duì)收到報(bào)告，稱有員工收到了看起來合法的短信，指向一個(gè)貌似Cloudflare Okta登錄頁面的網(wǎng)址。短信指向一個(gè)看似正式的域名（cloudflare-okta[.]com），但該域名是在釣魚企圖開始前不到40分鐘內(nèi)注冊(cè)的。

如果有人點(diǎn)擊了鏈接，他們將被帶到一個(gè)釣魚頁面，該頁面看起來與合法的Okta登錄頁面完全相同（Cloudflare將Okta作為其身份提供者），并提示訪問者輸入其憑據(jù)。

最終，如果目標(biāo)受害者完成在釣魚網(wǎng)站上輸入憑據(jù)和基于時(shí)間的一次性密碼（TOTP）的步驟，釣魚頁面將開始下載釣魚負(fù)載，其中包括AnyDesk的遠(yuǎn)程訪問軟件。該軟件一旦被安裝，攻擊者就能遠(yuǎn)程控制受害者的設(shè)備。

不過好在，Cloudflare并不使用TOTP代碼（相反地，每位員工都配備了符合FIDO2標(biāo)準(zhǔn)的物理安全密鑰）。攻擊者無法繞過其硬件密鑰要求或其SASE平臺(tái)：Cloudflare One。

身份欺騙威脅飆升

如今，更多的攻擊使用身份欺騙（假冒某人的身份）——第三大電子郵件威脅類別。2022年2月至2023年5 月2日期間檢測(cè)到的威脅中，14.2%含有身份欺騙，較一年前的10.3%大幅飆升。這種攻擊類型有很多形式，包括品牌模擬和商業(yè)電子郵件妥協(xié)（BEC）。

案例剖析

在2022年美國(guó)中期選舉前的三個(gè)月內(nèi)，Cloudflare阻止了大約15萬封發(fā)送給競(jìng)選官員的釣魚郵件。其中一次釣魚嘗試的目標(biāo)是美國(guó)國(guó)會(huì)候選人的工作人員。

這些工作人員收到了一封主題為“員工工資單審核”的電子郵件，要求他們?cè)L問一個(gè)文檔鏈接。該電子郵件包含了正確的電子郵件頁腳和與競(jìng)選活動(dòng)一致的品牌標(biāo)識(shí)。

然而，Cloudflare的模型在電子郵件的元數(shù)據(jù)中發(fā)現(xiàn)了幾處不一致，包括一個(gè)指向新注冊(cè)域名的鏈接。最終，Cloudflare系統(tǒng)阻止了這封電子郵件，從而防止了可能的數(shù)據(jù)和金錢損失。

全球BEC威脅激增

到現(xiàn)在為止，許多組織已經(jīng)聽說過商業(yè)電子郵件妥協(xié)（BEC）——這是一種以財(cái)務(wù)為動(dòng)機(jī)的特定形式的網(wǎng)絡(luò)釣魚。然而，BEC仍繼續(xù)造成重大。原因在于它不依賴于欺騙性鏈接或惡意附件，而是利用對(duì)收件人的電子郵件行為和商業(yè)流程的深入了解。這種知識(shí)也可以延伸到破壞目標(biāo)的可信供應(yīng)鏈和合作伙伴。

例如，BEC攻擊中可能使用的帳戶入侵，即攻擊者實(shí)際控制了某個(gè)用戶的電子郵件賬戶。如果是某個(gè)合作伙伴的電子郵件賬戶，則被稱為“供應(yīng)商電子郵件破壞”（VEC）。被入侵的帳戶可以針對(duì)其他人進(jìn)行攻擊，因?yàn)閬碓床]有改變。

想象一個(gè)信任了一段時(shí)間的供應(yīng)商：您經(jīng)常給他們發(fā)郵件，討論項(xiàng)目，甚至他們的周末計(jì)劃。然后，有一天，您支付了一張“假”發(fā)票——它在各方面看起來都像過去的發(fā)票，僅銀行代碼改變了。這是因?yàn)楣粽咭呀?jīng)在您的電子郵件帳戶中“潛伏”數(shù)周，甚至數(shù)月。

雖然BEC威脅在總檢測(cè)量中占比并不高（0.5%），但研究人員認(rèn)為，這是由于現(xiàn)在的技術(shù)可在攻擊周期中更快地識(shí)別這些威脅，例如，在攻擊者有機(jī)會(huì)發(fā)送欺詐性發(fā)票以轉(zhuǎn)移付款之前。

數(shù)據(jù)顯示，那些未能阻止企業(yè)電子郵件破壞（BEC）的組織將面臨比以往更大的財(cái)務(wù)損失：

• 損失超過500億美元：自2013年10月至2022年12月，BEC在國(guó)內(nèi)和國(guó)際上造成的總損失超過500億美元；
• 增長(zhǎng)17%：2021年12月至2022年12月，全球范圍內(nèi)已知因BEC造成的損失增長(zhǎng)了17%；
• 代價(jià)超過勒索軟件：在2022年，勒索軟件相關(guān)投訴共計(jì)2,385起，損失超過3430萬美元，而涉及BEC的投訴共計(jì)21832起，損失超過27億美元；
• 71%的組織：在2022年，71%的組織至少經(jīng)歷過一次嘗試或?qū)嶋H的BEC攻擊

品牌模擬威脅

在2022年5月至2023年5月期間，我們觀察到在針對(duì)Cloudflare客戶的電子郵件中約有1,000個(gè)不同的品牌遭到冒充。以下為攻擊者最常假冒的全球20大知名品牌：

案例剖析

今年初，Cloudflare發(fā)現(xiàn)并阻止了一個(gè)利用微軟品牌的網(wǎng)絡(luò)釣魚活動(dòng)，該活動(dòng)試圖通過一個(gè)合法但被入侵的網(wǎng)站獲取憑據(jù)。

在下面的電子郵件示例中，盡管電子郵件呈現(xiàn)了文字，但正文中卻沒有任何文本。整個(gè)正文是一個(gè)超鏈接的JPEG圖像。因此，如果收件人點(diǎn)擊了正文中的任何地方（即使他們并不打算點(diǎn)擊鏈接），他們實(shí)際上就是在點(diǎn)擊鏈接。

最初，該圖片的超鏈接似乎是一個(gè)良性的百度URL——hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是，如果點(diǎn)擊此鏈接，目標(biāo)的瀏覽器就會(huì)被重定向到一個(gè)已被入侵并用于托管憑據(jù)收割機(jī)的網(wǎng)站。

攻擊者使用了Microsoft Office 365品牌，但試圖通過在圖片中包含品牌信息來規(guī)避任何品牌檢測(cè)技術(shù)（即沒有可供檢查以識(shí)別該品牌的明文或HTML文本）。

不過，Cloudflare使用光學(xué)字符識(shí)別（OCR）成功識(shí)別出了圖片中的“Office 365”和“Microsoft”。我們還利用OCR識(shí)別了與密碼有關(guān)的可疑賬戶誘餌。

在本例中，攻擊者的技巧包括：

• 只包含JPEG圖像（沒有OCR就無法檢測(cè)到文字）；
• 在該圖片中嵌入一個(gè)超鏈接（點(diǎn)擊正文中的任何位置都將導(dǎo)致點(diǎn)擊該鏈接）；
• 超鏈接到百度URL（用于繞過基于信譽(yù)的URL檢測(cè)技術(shù)）；
• 百度URL將收件人的瀏覽器重定向到一個(gè)憑據(jù)收集器網(wǎng)站（即可以規(guī)避其他無法進(jìn)行深度鏈接檢查的電子郵件安全防御系統(tǒng)）；
• 在已遭到攻擊者入侵的合法網(wǎng)站上托管憑據(jù)收集器（即使使用深度鏈接檢測(cè)，也會(huì)再次嘗試?yán)@過基于信譽(yù)的URL檢測(cè)技術(shù)）；

這種攻擊手段利用了百度的高信譽(yù)和真實(shí)性，繞過了托管憑據(jù)收集器的真實(shí)主機(jī)/IP的信譽(yù)。

雖然此次特定活動(dòng)的重點(diǎn)是獲取微軟憑據(jù)，但研究發(fā)現(xiàn)攻擊者經(jīng)常使用類似方法繞過品牌檢測(cè)技術(shù)，誘騙受害者下載惡意軟件和其他惡意有效負(fù)載。

網(wǎng)絡(luò)釣魚活動(dòng)中經(jīng)常會(huì)出現(xiàn)URL重定向技術(shù)，但威脅行為者會(huì)濫用越來越多的合法域名（如 baidu.com、bing.coml等），從而不斷改進(jìn)其方法。

品牌模擬騙過常見電子郵件防御措施

電子郵件身份驗(yàn)證（特別是SPF、DKIM和DMARC標(biāo)準(zhǔn)）是經(jīng)常提到的可以有效防止品牌假冒的手段：這些標(biāo)準(zhǔn)有助于驗(yàn)證服務(wù)器和租戶的來源、保護(hù)信息完整性、提供策略執(zhí)行等。

然而，攻擊者仍然可以找到繞過身份驗(yàn)證的方法來欺騙電子郵件套件；數(shù)據(jù)顯示，89%不受歡迎的郵件“通過了”SPF、DKIM 和/或 DMARC 檢查。

電子郵件身份驗(yàn)證的一些優(yōu)勢(shì)和局限性包括：

結(jié)論和建議

攻擊者的戰(zhàn)術(shù)正在不斷更新變化。在郵件到達(dá)收件箱之前、期間和之后，必須實(shí)施多重保護(hù)。

所有組織都應(yīng)將零信任的“永不信任，始終驗(yàn)證”安全模式不僅推廣到網(wǎng)絡(luò)和應(yīng)用程序，還要擴(kuò)展到電子郵件收件箱。

除了使用零信任方法確保電子郵件安全外，安全專家還建議：

1. 通過多種反釣魚措施來增強(qiáng)云電子郵件

跨多個(gè)設(shè)備使用消息傳遞、協(xié)作、文件共享和企業(yè)軟件即服務(wù)應(yīng)用程序都有助于提高員工的工作效率和體驗(yàn)。許多這樣的環(huán)境都認(rèn)定成“封閉的”，但如果一個(gè)仿冒供應(yīng)鏈合作伙伴憑據(jù)的網(wǎng)絡(luò)釣魚攻擊成功，就會(huì)使組織面臨數(shù)據(jù)丟失、憑據(jù)被盜、欺詐和勒索軟件攻擊。為電子郵件收件箱開發(fā)的保護(hù)措施必須覆蓋到這些環(huán)境，并貫穿員工的日常工作流程。

2. 采用防網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證（MFA）

雖然并非所有多因素身份驗(yàn)證都能提供相同的安全層，但硬件安全密鑰是防止網(wǎng)絡(luò)釣魚攻擊成功的最安全身份驗(yàn)證方法之一。即使攻擊者獲得了用戶名和密碼，這些密鑰也能保護(hù)網(wǎng)絡(luò)安全。

3. 降低人類犯錯(cuò)率

讓員工和團(tuán)隊(duì)使用的工具更加安全，防止他們出錯(cuò)，從而滿足他們的需求。例如，遠(yuǎn)程瀏覽器隔離（RBI）技術(shù)與云電子郵件安全集成后，可以自動(dòng)隔離可疑的電子郵件鏈接，防止用戶接觸到潛在的惡意Web內(nèi)容。在不受信任的網(wǎng)站上，鍵盤輸入也可以進(jìn)行禁用，以保護(hù)用戶避免在填寫表格時(shí)意外輸入敏感信息或憑據(jù)而遭到竊取。這可以有效地允許用戶不用中斷他們的工作流程即可安全地打開鏈接，為抵御多渠道網(wǎng)絡(luò)釣魚攻擊提供了一層防御。

4. 建立多疑但不責(zé)難的文化

鼓勵(lì)開放、透明的“發(fā)現(xiàn)問題、及時(shí)報(bào)告”方式，與IT和安全事件響應(yīng)團(tuán)隊(duì)進(jìn)行全天候合作，有助于讓每個(gè)人參與到網(wǎng)絡(luò)安全工作中來。遭到攻擊時(shí)，每分鐘都很重要。建立一個(gè)多疑但不責(zé)難的文化，提前并經(jīng)常報(bào)告可疑活動(dòng)，以及真實(shí)的錯(cuò)誤，有助于確保事件（無論多么罕見）能夠盡快得到報(bào)告。

原文鏈接：https://blog.cloudflare.com/2023-phishing-report/