俄乌冲突爆发已有一个多月,在俄罗斯与乌克兰进行地面战争的同时,由“黑客”冲锋的网络攻防战,已成为第二战场,而在这其中网络钓鱼攻击手段再次成为关注焦点。
Proofpoint发布的2022年网络钓鱼情况报告显示:2021年全球电子邮件攻击明显增加,78%的组织成为了基于电子邮件的勒索软件攻击目标。如果是企业安全运维人员,听到“钓鱼邮件”四个字,内心估计会咯噔一紧。虽然部署了邮件安全软件,但由于钓鱼邮件攻击隐蔽性强,破坏性大,且企业人员日常疲于精细管理,一旦遭到黑客利用,随时将置身于重大经济损失与品牌信任危机之中。钓鱼邮件攻击如何榨取企业价值?企业又该如何做好钓鱼邮件防护?这篇文章将为你详细分享。
邮件安全事件频发
2021年11月,全球知名家居零售商——宜家遭遇钓鱼电子邮件持续攻击,攻击者利用窃取来的回复链电子邮件,对宜家员工实施内部钓鱼攻击。
2021年11月,一起持续两年时间针对我国各大高校、国企以及政府的大规模钓鱼邮件攻击被发现。
2021年6月,全球知名快餐品牌麦当劳,黑客窃取了麦当劳在美国、韩国和中国台湾地区的部分数据,包含员工和餐厅的信息。
2021年6月,SolarWinds事件的幕后黑手瞄准全球各政府机发动钓鱼邮件攻击,至少24国受害
2021年3月,硅谷顶级风险投资公司红杉资本遭遇的钓鱼邮件攻击,在该公司近期遭遇的网络钓鱼攻击中,投资者的个人信息和财务信息可能已被第三方窃取。
未知攻焉知防——邮件攻击常用的手法
网络钓鱼电子邮件种类繁多,但主流的攻击方法大致可分为以下几种:
这是一种最基础的攻击方式,就是在邮件正文中放入一个恶意诱导链接,等待用户进行点击,链接后面是一个伪造的网站,可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。
攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等,以提高内容可信度,诱导用户点击链接。而恶意链接部分也进行伪装。
1、短链接:
http://suo.im/5MTrPR
2、使用html标签伪造隐藏:
<a href=' https://www.dbappsecurity.com.cn/'> 点击查看详情
</a>
更猥琐的有:
<a href=' https://www.baidu.com/'> https://www.dbappsecurity.com.cn/
</a>
绑定html事件如onclick onmousedown
3、近似URL:
https://www.dbapsecurity.com.cn/
https://www.dbappsecurtiy.com.cn/
4、子域名:
http://www.dbapsecurity.abc.com.cn/
近似子域名:
http://oa-dbappsecurity.com.cn/
5、利用url特性,如
https://[email protected]/
试试看以上这么多例子,你可能会被哪个中招?
此类也是常见的一种,攻击者的payload含在邮件附件里,载体有直接的文档、图片、压缩包、脚本程序(exe、vbs、bat)等。
最直接的方式当然是直接发送脚本程序,但是容易被邮箱安全机制拦截或者人员识破,因此攻击者会使用一些伪装手段,如使用超长文件名隐藏后缀等。
最常用来攻击的办公文件为Word文件,其次为Excel文件。此类恶意文档简单的是利用宏代码调用powershell进行命令执行,高级的直接利用office等客户端软件漏洞。而ZIP压缩格式较常被用来夹带恶意文件,用于躲避邮件沙箱或者安全杀软的直接查杀。
屡试不爽的 Office 文件漏洞,一直是攻击者爱用的武器之一。除了作业人员、防病毒软件对文档的警觉性较低外,许多人所使用的 Office 不会经常性更新。除了公司预算的问题外,原本就使用了非正版Windows,或担心兼容性、使用上的适应性,以及缺乏漏洞修补的概念,都是使用者不愿更新的原因。
此类做法主要是使用邮件进行投递攻击武器,武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞,此类攻击需要配合操作系统/浏览器的 0day 或者 Nday,而且需要对攻击者使用的终端应用软件进行比较精准的识别,因此攻击成本较高,但是最终的效果还是很不错的,如利用邮箱的xss漏洞获取了大量员工邮箱账户cookie信息。
其他常见利用的漏洞有windows系统漏洞、office漏洞、Winrar目录穿越等。
主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。
·邮件伪造
使用swaks可以非常简单的向目标投送伪造的钓鱼邮件。
·邮件协议爆破
使用万能爆破工具hydra可以对常见邮件协议进行爆破。
这里面伪造使用了引号,因为这个伪造可能是使用真实的发件人邮箱身份,如攻击者通过一些方式窃取了一些真实可信的邮箱身份。
当然还有一些比较迂回的方式,如果通过邮箱直接攻击B单位人员无法成功,那么攻击B单位的上级单位或者有较强业务往来的A单位人员邮箱,然后利用B对A的可信度,伪造邮件向其索要一些敏感信息或者要求安装一些异常软件等。实际的对抗中确实有某攻击队通过此方式直接获得了目标单位全员信息(姓名、电话、邮箱、住址)。
根据相关数据显示,与漏洞挖掘利用或各种伪装及渗透相比,钓鱼邮件因其成功率高、操作简单成为了攻防演练中最常见的攻击方式之一,这种结果肯定不能让多数人信服,为了攻防演练花了重金堆砌防火墙,打造态势感知、流量分析、入侵检测以及部署防病毒软件等等,层层设防、严防死守抵抗入侵,而攻方仅仅只是发送了钓鱼邮件就实现了入侵,因为防守方忽略了最基层也最重要的因素——员工的人为因素。
安全建议:提升安全意识,开展模拟演练
钓鱼邮件虽然防不胜防,但给员工开展安全意识教育和钓鱼模拟演练可以很大程度上增加员工的安全防范意识,并有效减少钓鱼邮件的中招率。
钓鱼邮件年年有,但每年马甲不一样。这里其实可以根据特定的原则,进行基本的钓鱼邮件识别。无论处于哪个行业,每一个企业都面临着严重的信息泄漏风险,而且信息泄露风险的主要源头其实就在员工。没有进行过安全意识培训的员工很难辨别潜在的网络攻击手段,不管是攻防演练时期还是日常工作中,数据显示,超过五分之一的公司的员工受到社会工程和钓鱼欺诈的威胁。提高企业内部员工的安全意识,开展安全意识教育培训才能全面提升企业整体网络安全防护水平。
选择合适的时间,合适的主题,针对公司全员,或者财务、销售等部分关键岗位进行全方位多次数的钓鱼演练,通过不定期员工钓鱼测试,既可以了解现有邮件网关、邮件系统、终端及网络方面的防护能力,又能强化员工的网络安全意识,把安全知识学以致用。
想要一招解决钓鱼邮件几乎是不可能的。我们没法保证每个员工都有极高的安全意识,而且黑客的攻击技术也在持续更新。这个时候,对于普通的企业而言,把关键的精力投入到员工演练与安全培训,同时不断提升安全技术,见效会更快,这样架起来的防护墙也会更坚固。
中睿天下钓鱼邮件演练服务可根据客户需求伪造目标单位指定邮箱账号,向指定的目标单位员工邮箱批量发送鱼叉式钓鱼/恶意木马邮件/社工邮件,统计邮件阅读率、中招率及影响范围,以此进行安全意识测试和安全宣传教育。可根据客户实际邮件防护环境检测在邮件攻击过程中邮箱服务器及邮件防护环节是否存在薄弱点。用户可定制完整钓鱼邮件演练服务,获取更专业的服务体验,也可单独购买钓鱼模板定制服务。
当然企业想要时时规避风险,提升网络安全指数,还需要专业的邮件安全防护系统
建立可回溯的邮件安全防护体系
睿眼邮件攻击溯源系统是集软硬件为一体的新一代邮件安全监测与溯源系统,基于攻击者视角研发,可有效检测APT、社工钓鱼、商业诈骗、账号受控、未知漏洞利用等邮件攻击,并快速追溯攻击事件的来龙去脉,弥补传统邮件防护体系的不足。
识别新型威胁邮件
发现社工钓鱼、商业诈骗、邮箱被控、APT攻击等邮件攻击,弥补对新型威胁邮件检测能力不足。
实时检测预警威胁
提升威胁发现能力,实时检测邮件威胁,自动预警,避免造成巨大损失。
深度溯源还原攻击过程
对整个攻击过程进行还原和溯源,掌握黑客踪迹,了解自身系统弱点 ,实现精准防护。
发现邮箱潜在风险
通过AI算法建立邮件账户基线,识别弱密码、账户异常登录/收发、邮件窃密等高危风险事件
在当前的局势下,邮件安全问题错综复杂,形势依然十分严峻,需要引起更多的重视。中睿天下将持续关注邮件安全的技术研究,为企事业单位解决安全问题提供更多新的思路。
部分内容来源于网络,由中睿天下整理编辑
原文始发于微信公众号(中睿天下):听说,这是攻防演练中成功率最高的方式?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论