前言:2020年已然过去,回首一年的网络威胁攻击,根据fireeye,IBM,Check Point Research等发布的威胁报告来看。根据报告的平均值来看鱼叉式网络钓鱼占所有攻击的百分之31.4%左右,位列榜首。
1.钓鱼目标邮件产品占比
什么是网络钓鱼这里就不解释凑字数了,直接截fireeye的解释
根据Check Point Research2020年第三季度的网络钓鱼报告来看,微软是2020年第三季度网络钓鱼最大的模仿品牌。(office365)
排行表如下:
Microsoft (related to 19% of all brand phishing attempts globally) |
DHL (9%) |
Google (9%) |
PayPal (6%) |
Netflix (6%) |
Facebook (5%) |
Apple (5%) |
Whatsapp (5%) |
Amazon (4%) |
Instagram (4%) |
微软作为最大的被伪造对象,根据笔者自身的测试。office不管是默认的防护策略还是一些配置上会宽松于谷歌的GMAIL。但是这不是本文讨论的事情。
2.网络钓鱼手法演变
常规的页面伪造钓鱼普遍有以下特征:
1.相近域名
2.冒充同事/部门/机构
3.自建服务器,收集账号密码
经过2020年整整一年的观察和发现,伪造页面钓鱼的手法有了较大的改变。
总体可以总结为从自建钓鱼网站到使用一些厂商的公共服进行钓鱼攻击。
什么是厂商的公共服务呢?如下图所示
可以看出上图钓鱼攻击者使用的域名是office也就是微软的。用微软的服务去钓微软的邮箱账号。这样做的最大好处就是钓鱼邮件进收件箱的概率大大增加了,同时还增加了隐蔽性和识别钓鱼邮件的难度。(即使在高强度的安全培训下,非技术人员也往往会把这认为是微软的官方邮件,因为毕竟这本身就是微软自身的域名)
类似的服务一般商场自建站,投票服务,文档服务等等等,如:
谷歌的文档服务:docs.google.com
谷歌自建站:sites.google.com
谷歌的Firebase:firebastorage.googleapis.com
国内一些云服务也同样存在类似的问题,为了避免发完文章又被厂商打电话,这里就不举例了
3.如何防范这些钓鱼攻击
不管是作为企业还是机构或者学校,最简单的无疑是把这些域名直接在源头杀死,流量网关/邮件网关把这些子域名直接拉黑。
本文始发于微信公众号(边界骇客):伪造页面钓鱼从个人S端到公有S端的发展趋势
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论