近日，郵件安全公司Egress發(fā)布的《2023年網(wǎng)絡(luò)釣魚威脅趨勢報告》對迄今為止的流行網(wǎng)絡(luò)釣魚趨勢進(jìn)行了分析。報告回顧了今年最常見的釣魚主題，并預(yù)測了接下來的發(fā)展趨勢，同時研究了網(wǎng)絡(luò)犯罪分子用于繞過邊界防御機(jī)制的流行混淆技術(shù)，以及聊天機(jī)器人對網(wǎng)絡(luò)釣魚威脅的影響。

一、聊天機(jī)器人真的徹底改變了網(wǎng)絡(luò)釣魚嗎？

網(wǎng)絡(luò)犯罪分子濫用大型語言模型（LLM）發(fā)起攻擊的可能性在2023年占據(jù)了新聞頭條，但這真的改變了游戲規(guī)則嗎？

2022年11月，ChatGPT的推出進(jìn)一步推動了人工智能競賽，從那時起，新聞中就充斥著各種最新的發(fā)展和應(yīng)用，尤其是在網(wǎng)絡(luò)安全行業(yè)。

像許多創(chuàng)新一樣，大型語言模型的力量掌握在使用它們的人手中——網(wǎng)絡(luò)犯罪分子利用聊天機(jī)器人創(chuàng)建網(wǎng)絡(luò)釣魚活動和惡意軟件的可能性一直令人擔(dān)憂。在《2023年電郵風(fēng)險報告》中，72%的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者表示，他們擔(dān)心使用聊天機(jī)器人來促進(jìn)網(wǎng)絡(luò)釣魚攻擊。

但這在現(xiàn)實(shí)中有多大可能呢？

1. LLM降低了網(wǎng)絡(luò)犯罪的準(zhǔn)入門檻

曾幾何時，通過錯誤的語法、拼寫和荒謬的請求，可以發(fā)現(xiàn)很大比例的網(wǎng)絡(luò)釣魚郵件。在ChatGPT推出之前，這些攻擊遠(yuǎn)沒有那么復(fù)雜，而且得益于網(wǎng)絡(luò)犯罪的商品化，相關(guān)犯罪網(wǎng)絡(luò)的增長，以及犯罪即服務(wù)生態(tài)系統(tǒng)（包括網(wǎng)絡(luò)釣魚工具包和預(yù)先編寫的惡意軟件等產(chǎn)品），這些攻擊的數(shù)量正有所增加。

LLM進(jìn)一步降低了網(wǎng)絡(luò)犯罪的準(zhǔn)入門檻，使得技能有限的犯罪者也能創(chuàng)建出高效的網(wǎng)絡(luò)釣魚活動和惡意軟件。這對經(jīng)驗(yàn)不足的網(wǎng)絡(luò)罪犯、編碼能力有限的程序員，或是不能流利地用目標(biāo)語言寫作的人影響最大。

LLM最令人擔(dān)憂但最少被提及的應(yīng)用可能是偵察高度針對性的攻擊。在幾秒鐘內(nèi)，聊天機(jī)器人就可以從互聯(lián)網(wǎng)上獲取關(guān)于選定目標(biāo)的開源情報（OSINT），這些情報可以用于社會工程。

此外，LLM可以提高攻擊速度，比人更快地創(chuàng)建更大的攻擊量（圖1）。

圖1所示的兩個例子展示了419騙局的演變。第一種是一種相對明顯和眾所周知的攻擊，大多數(shù)收件人都能識別出來；第二種是更為詳細(xì)的策略，針對易受攻擊的收件人，并要求預(yù)付一小筆款項(xiàng)

2. 假托（Pretexting）VS 有效載荷：社會工程郵件有多普遍？

威脅情報分析人員將網(wǎng)絡(luò)釣魚郵件的字符長度與其有效載荷相關(guān)聯(lián)。為此，他們分析了170萬封網(wǎng)絡(luò)釣魚郵件，以確定它們是否包含網(wǎng)絡(luò)釣魚鏈接或基于附件的有效載荷，或者它們是否“無有效載荷”（payloadless），僅依賴于社會工程。

數(shù)據(jù)顯示，少于100個字符的網(wǎng)絡(luò)釣魚郵件有90%的可能性包含附件作為有效負(fù)載。釣魚網(wǎng)站的鏈接在100 - 1199個字符之間最為普遍。字符長度在1500個或更多（大約200 -375個單詞之間）時，攻擊更有可能依賴于社會工程。

在附件和社會工程之間也有一個“接力棒傳遞”（baton pass），大約有500 - 1300個字符，將欺詐性附件和社會工程結(jié)合在一起，成為復(fù)雜的商業(yè)郵件欺詐（BEC）攻擊的一部分。這是有道理的，畢竟攻擊時間越長，就越有可能有復(fù)雜的假托來說服目標(biāo)采取所請求的行動（見圖2）。

【圖2：郵件文本長度和有效負(fù)載類型之間的相關(guān)性】

到目前為止，2023年社會工程的流行程度略有增加。通過分析2022年1月至12月期間各組織收到的網(wǎng)絡(luò)釣魚郵件，威脅分析師發(fā)現(xiàn)，17.98%的網(wǎng)絡(luò)釣魚郵件僅依賴于社會工程。在2023年1月至9月期間，這一數(shù)字上升至19.01%。通常，社會工程策略會與不同的有效負(fù)載相結(jié)合（見圖3）。

【圖3：僅依靠社會工程的網(wǎng)絡(luò)釣魚郵件數(shù)量】

2.組織是否該擔(dān)心LLM和網(wǎng)絡(luò)釣魚？

這一切都取決于組織的防御能力。如果組織僅依靠傳統(tǒng)的基于簽名和聲譽(yù)的邊界檢測，那么是時候部署云電郵安全（ICES）解決方案了，它不依賴于定義庫和域名檢查來確定郵件是否合法。相反地，ICES將人工智能交到防御者手中，使用自然語言處理（NLP）和自然語言理解（NLU）等模型來分析郵件內(nèi)容，以尋找網(wǎng)絡(luò)釣魚的語言標(biāo)記。這些解決方案還使用機(jī)器學(xué)習(xí)來檢測帶有零日和新興惡意軟件負(fù)載的網(wǎng)絡(luò)釣魚郵件。

最終，網(wǎng)絡(luò)釣魚（而非LLM）仍然是主要的壓力源。攻擊是由人類還是機(jī)器人編寫的并不重要，重要的是組織的防御系統(tǒng)能否檢測到它。

然而，遺憾地是，有44.9%的網(wǎng)絡(luò)釣魚郵件不符合250個字符的限制，還有26.5%的郵件低于500個字符，目前人工智能探測器要么不能可靠地工作，要么根本不能處理71.4%的攻擊。

二、隱藏在眾目睽睽之下

數(shù)據(jù)顯示，超過一半（55.2%）的網(wǎng)絡(luò)釣魚郵件包含混淆技術(shù)，以幫助網(wǎng)絡(luò)罪犯逃避檢測。

到目前為止，使用混淆技術(shù)的網(wǎng)絡(luò)釣魚郵件比例在2023年躍升了24.4%，達(dá)到55.2%?；煜咕W(wǎng)絡(luò)犯罪分子能夠在某些檢測機(jī)制中隱藏他們的攻擊行為。

1.混淆技術(shù)

下面是報告中所涉混淆技術(shù)的簡單概述：

• 從左到右覆蓋（Left-to-right override，LTRO）：用于在正文副本中偽裝附件類型或欺騙NLP檢測的技術(shù)。
• 空格：在白色背景上使用白色字體來偽裝郵件中的字符。
• 同形字：一種欺騙形式，使用相似或相同的字符或利用UNIcode來模仿拉丁字符。
• 基于圖像的攻擊：郵件的正文是圖片，沒有文字。
• 劫持合法超鏈接：攻擊者在合法網(wǎng)站上承載惡意負(fù)載或使用合法網(wǎng)站鏈接偽裝最終目的地。
• HTML走私：在HTML附件中“走私”一個編碼的惡意腳本。
• 編碼：檢測技術(shù)無法讀取附件中的內(nèi)容。

幾乎一半（47.0%）使用混淆的網(wǎng)絡(luò)釣魚郵件包含兩層內(nèi)容，以增加繞過郵件安全防御的機(jī)會，確保郵件成功發(fā)送給目標(biāo)收件人。不到三分之一（31.0%）的郵件只使用了一種混淆技術(shù)。剩下的21.2%使用了三層或更多層（見圖4）。

【圖4：包含不同混淆層的釣魚郵件比例】

在網(wǎng)絡(luò)罪犯與防御者無休止地攻防大戰(zhàn)中，隨著檢測能力不斷適應(yīng)更新的攻擊，混淆技術(shù)的受歡迎程度起起伏伏。在2023年迄今為止的釣魚郵件中，HTML走私被證明是最受歡迎的混淆技術(shù)，占比34.0%。劫持合法超鏈接是第二受歡迎的攻擊（占17.0%），基于圖像的攻擊排名第三（占13.0%）。

自2022年以來，HTML走私和基于圖像的攻擊的受歡迎程度都大幅上升：其中，基于圖像的攻擊幾乎翻了兩番，HTML走私幾乎翻了三倍。這些技術(shù)都是高度規(guī)避性的，能夠有效繞過傳統(tǒng)的基于簽名的邊界檢測。在HTML走私攻擊中，有效負(fù)載被看似無害的html5和JavaScript掩蓋，并在交付完成后重組?；趫D像的攻擊從郵件中刪除所有字符，只留下一個超鏈接供基于簽名的檢測掃描。當(dāng)與被劫持的合法超鏈接或尚未列入黑名單的釣魚網(wǎng)站配對時，攻擊將會順利通過邊界檢測。

另一方面，與2022年相比，2023年1月至9月期間，網(wǎng)絡(luò)釣魚郵件正文副本中的LTRO和空格技術(shù)的使用有所下降。因?yàn)檫@些技術(shù)無法得到進(jìn)一步發(fā)展，一旦檢測能力能夠識別它們，它們的回報率和流行度都會下降（見圖5）。

【圖5：2022年與2023年主要混淆技術(shù)受歡迎程度的變化】

2.混淆最常用于偽冒攻擊

基于偽冒的攻擊最有可能使用多種類型的混淆技術(shù)，例如23.5%的網(wǎng)絡(luò)釣魚郵件冒充已知公司（如客戶或供應(yīng)商）。緊隨其后的是冒充郵遞員的誤傳攻擊（22.6%），未接語音郵件（21.2%），以及不屬于供應(yīng)鏈的流行組織的品牌冒充（19.5%）（圖6-8）。

【圖6：DHL冒充空白和NLP破壞攻擊。攻擊包含白色背景上的白色字符，但只留下黑色文本可見】

【圖7：DOCUSIGN品牌冒充攻擊，劫持合法超鏈接，意圖將目標(biāo)重定向到釣魚網(wǎng)站】

【圖8：基于圖像的攻擊冒充微軟。該圖片被超鏈接到一個冒充微軟的憑據(jù)收集網(wǎng)站】

三、灰色郵件

一般來說，灰色郵件頂多只是一種干擾。但在最壞的情況下，它會增加網(wǎng)絡(luò)釣魚的風(fēng)險。

為了了解灰色郵件是如何影響網(wǎng)絡(luò)安全的，研究人員分析了一組公司在四周內(nèi)收到的1.638億封郵件。他們發(fā)現(xiàn)，平均有三分之一（34%）的郵件流可以歸類為灰色郵件（涉及通知、更新和促銷信息等）。

人們收到灰色郵件的概率取決于他們所從事的行業(yè)和工作。數(shù)據(jù)顯示，收到最多灰色郵件的是人力資源、招聘、營銷、法律、財(cái)務(wù)和教育部門的組織，以及從事財(cái)務(wù)、人力資源、客戶服務(wù)和辦公室管理工作的個人。

而就時間而言，周三和周五是一周中最常發(fā)送/接收灰色郵件的日子。（見圖9）

1.灰色郵件對網(wǎng)絡(luò)安全意味著什么？

(1) 更多的灰色郵件=更多的網(wǎng)絡(luò)釣魚郵件

研究人員發(fā)現(xiàn)，收到的灰色郵件和網(wǎng)絡(luò)釣魚郵件數(shù)量之間存在直接關(guān)聯(lián)?；疑]件數(shù)量最多的5個行業(yè)中，有4個行業(yè)收到的釣魚郵件數(shù)量最多，只有教育和零售業(yè)例外。

收到灰色郵件釣魚郵件數(shù)量排名前五的行業(yè)：

• 人力資源；
• 市場營銷；
• 法律；
• 金融；
• 教育

收到網(wǎng)絡(luò)釣魚郵件數(shù)量排名前五的行業(yè)：

• 人力資源；
• 法律；
• 金融；
• 市場營銷；
• 零售。

【圖9：一周中每天平均灰色郵件量占郵件總流量的百分比】

嚴(yán)重依賴電郵進(jìn)行溝通的組織將不可避免地遭遇灰色郵件，這種嚴(yán)重依賴也使它們成為網(wǎng)絡(luò)罪犯的主要目標(biāo)。近年來，模仿灰色郵件（例如SharePoint和社交媒體通知）的偽冒攻擊有所增加。此外，在發(fā)送灰色郵件的組織中，任何泄露客戶詳細(xì)信息的行為都可能導(dǎo)致郵件地址列表被出售或轉(zhuǎn)儲到網(wǎng)上，并被用于后續(xù)攻擊。

(2) 增加管理負(fù)擔(dān)

灰色郵件的一個問題是，盡管是主動發(fā)送的，但許多收件人認(rèn)為它很討厭，他們可能會忘記自己訂閱了什么，或者收到比預(yù)期更多的郵件。因此，員工的郵箱里可能充斥著灰色郵件和其他“無害”的垃圾郵件，給管理員帶來更多管理負(fù)擔(dān)，同時也推遲了他們對合法舉報的釣魚郵件采取行動的時間。

2.解決灰色郵件網(wǎng)絡(luò)風(fēng)險的建議

過濾灰色郵件將減少員工郵箱中的噪音，這不僅提高了效率，而且對網(wǎng)絡(luò)安全也有好處。隨著進(jìn)入收件箱的灰色郵件越來越少，被錯誤地報告到濫用郵箱的郵件也越來越少，這意味著管理員可以花更多的時間來評估和分類真正的網(wǎng)絡(luò)釣魚郵件。

此外，組織應(yīng)該思考他們教育員工網(wǎng)絡(luò)釣魚風(fēng)險的方法。除了常規(guī)訓(xùn)練之外，動態(tài)banner也可以添加到入站電郵中，使用中立的網(wǎng)絡(luò)釣魚郵件提供持續(xù)、及時和相關(guān)的教育。這種方法被證明可以提高人們準(zhǔn)確報告網(wǎng)絡(luò)釣魚郵件的能力。

結(jié)語

隨著威脅的發(fā)展，網(wǎng)絡(luò)安全行業(yè)需要共同努力來管理電郵的人為風(fēng)險。希望本網(wǎng)絡(luò)釣魚威脅趨勢報告可以幫助組織了解網(wǎng)絡(luò)釣魚攻擊趨勢的變化，并重新思考如何調(diào)整防御措施的關(guān)鍵因素。

原文鏈接：https://www.egress.com/media/mq4kwitu/egress_phishing_threat_trends_report.pdf