鬼祟无下限。应警惕能瞒过常规验证方法的狡猾网络钓鱼邮件。
去年,网络罪犯以多种创新方式滥用电子邮件实施网络攻击,“战果颇丰”。用户收件箱被塞满藉由病毒恐惧情绪诱骗点击钓鱼链接的邮件。各类账户被盗,公司企业对供应商的信任惨遭攻击者利用。常规验证检查措施失效,可疑邮件大量潜入。攻击者将域名当成用后即弃的一次性物品:短暂使用后就抛弃,不给安全工具留出标记为恶意站点予以打击的机会和时间。
没错,新冠肺炎疫情肆虐的2020年也是电子邮件攻击狂欢的一年。但其中哪些攻击最为突出呢?
Darktrace电子邮件安全产品总监Dan Fein描述了他心目中2020年最“成功”的电子邮件攻击,均为该公司AI电子邮件工具Antigena检测出来的。下面我们就来看看都有哪些攻击收获了这份“殊荣”:
对希望逃避隔离的滑雪爱好者而言,提供Vail Resorts雪场门票的电子邮件简直无法拒绝。然而,禁不住诱惑的结果就是沦为凭证盗窃攻击的受害者。
邮件中的网络钓鱼链接似乎指向Vail Resorts滑雪度假村公司,然后重定向至其合法订票服务及合作伙伴公司Snow.com。然而,这些都只是表象。
![2020年最狡猾电子邮件攻击]( "2020年最狡猾电子邮件攻击")
注意URL末尾的“p1”参数。攻击者实际上会将受害者带到s-ay.xyz上的虚假登录页面。而且,为了伪装得更像,虚假登录页面甚至在“username”(用户名)字段预先填入了受害者的电子邮件地址。由于URL实在是太长了,即使熟悉安全的用户在点击之前悬停检查了超链接目的地址,也很可能只看到一个被截断了的URL,没机会看到末端那个可疑的参数。
Fein称:“很多安全产品都不会检测,因为vailresorts.com名声清白。我觉得这很有意思,因为只要你以特定方式查看这一链接就能发现这些东西。你会意识到这个链接不寻常,因为里面隐藏了重定向。”
Fein表示:“每次SPF(发送方策略框架)或DKIM(域名密钥识别邮件)等验证检查表明邮件是从预期基础设施发来时,我们的客户都觉得‘哎呀,SPF通过了,DKIM通过了,这邮件难道还不是良性的?’但在我们看来,这还真不是。你得保持戒备之心。”
举个例子:据称发自目标公司IT部门的邮件,链向微软Office表单。Office 365登录页面还预载了用户的电子邮件地址。邮件通过了SPF和DKIM验证检查。
但是,Darktrace检测到,这封邮件很可能发自被黑账户。(不仅仅是因为邮件文本中包含“点击密码”这种语法奇怪的短语。)
Fein引用了几个潜在异常上下文的案例,并表示:“Antigena会检查上下文。比如,通常来自Outlook的邮件突然换成了出自Python脚本。或者只要看看邮件的用户代理(User Agent):一切看起来好像自动化了。要不然就看基础设施:尽管来自Outlook,却是发自非预期的国家。”
还有一种邮件,号称来自IT支持服务,但根本毫无帮助。攻击者在发件人名称里嵌入了一些非拉丁字母。(有些攻击者现在会使用隐藏文本,也就是在电子邮件字母之间加入不可见字符,避免“helpdesk”(技术支持)或“password expired”(密码过期)这样的词句触发电子邮件防御机制。)
邮件本身是无伤大雅的,附件也相对无害。但附件里的超链接就成问题了。这种链接很可能号称链向在线餐厅预订服务,但实际上却是通往恶意网站。
Fein表示,Darktrace能根据风险严重程度执行一系列针对性操作:重定向可疑链接、完全剪掉可疑链接、滤掉邮件中的附件,或者阻止整封邮件。
“仅仅因为附件里有可疑的东西,不代表你得完全阻止整个附件,但在这种情况下,确实应该完全阻止。”
Fein选出的另一电子邮件攻击与他本人关系密切,因为攻击者假冒了一家电子邮件安全公司。邮件来自虚假思科Ironport地址,宣称内含存档文件。
发件人和收件人之间并无既往联系,这就很让人生疑了,更别提还有另一个异常敲响了警钟:Darktrace AI检测引擎将收件人集合本身标为了极不正常。
正如Fein解释的,有些用户组更容易一起出现在同一电子邮件线程中,其他用户组则不然;有些用户组预期收到未知发件人发来的外部邮件,其他则一般不会收到这种邮件。所以,如果某封邮件同时发往人力资源部门、开发团队和其他互不相关的业务线,Darktrace的检测技术就会注意到异常。
今年令Fein惊讶和棘手的电子邮件攻击,是运用狡猾的技术骗取目标收件人及其安全工具信任的那种。
“他们会顶着你熟悉的公司名称,或者采用你知道的基础设施。又或者,你收到熟人的电子邮件,然后觉得自己在登录回复他们。但这一切都不过是为了让你以为自己接下来要做的事有意义,为了增加可信度而已。”
本文始发于微信公众号(数世咨询):2020年最狡猾电子邮件攻击
评论