HTML附件成为恶意邮件的常用手段 难以被识别为其首要特征

长期以来，很多用户可能会认为以邮件为载体的攻击中，需要重点关注的应该是可执行文件以及.dll文件，但根据专注于邮件安全领域的美国Barracuda Networks调查发现，在网络攻击中，攻击者使用的HTML附件是最多的，在其扫描到的威胁中占比达到了21%，其数量超过排名第二的TEXT（9%）两倍以上。

对于这一结果，Barracuda Networks方面表示，由于HTML附件本身并不是恶意的，攻击者并不会在附件中包含恶意软件，而是使用托管在其他地方的Java脚本库进行多重重定向，因此这类攻击很难检测到。

在同类网络攻击中，HTML附件的使用越来越多，因为用户和系统都很难识别攻击。在Barracuda提供的示例中，HTML附件本身并不是恶意的，但最终会将用户诱导到一个恶意站点。

如前文所述，HTML附件以21%的比例在BarracudaNetworks扫描到的威胁中排名第一，除了排名第二的TEXT（9%）之外，其他类型的排序大体如下供参考:

• XHTML (4%)

• 二进制文件(0.3%)

• 脚本(0.08%)

• Rtf (0.04%)

• MS Office (0.03%)

• PDF (0.009%)

Barracuda发现，攻击者一直在用户定期收到的电子邮件中嵌入恶意HTML文件，比如报告链接，而实际上这是一封带有有害URL的网络钓鱼邮件。通过这种方法，攻击者不再需要在电子邮件正文中添加链接，从而更容易被发现，相比之下，HTML附件的方式则可以更快地绕过反垃圾邮件和反病毒策略。

当这些文件被打开时，HTML使用Java脚本将用户发送到第三方机器，要求用户输入他们的个人凭证来登录或下载一个恶意软件文件。这种方法也不需要攻击者创建一个虚假网站来进行此类攻击，而是可以直接创建一个嵌入在附件中的钓鱼表单，将钓鱼网站作为附件而不是链接发送出去。

Barracuda强调了三个主要的技巧来帮助用户避免成为这类攻击的受害者:

1、确保自己正在使用的电子邮件保护解决方案可以扫描和阻止恶意HTML附件。

2、对用户进行一定的安全教育，告诉他们如何识别和报告潜在的恶意HTML附件。

3、如果这类恶意邮件攻击确实发生了，那么务必提前准备好事后的补救措施及相关工具。

在企业方面，投资于更强的电子邮件检测和响应能力的解决方案可以防止这种恶意软件进入企业内用户的收件箱。在个人方面，如果其中一封电子邮件进入了收件箱，那么通过零信任模型，在组织的IT部门验证它是安全的之前不要点击任何东西，这样可以为用户和企业节省大量的麻烦。

THE END