网络钓鱼不断演变
利用人类行为的新方式
与所有类型的网络攻击一样,网络钓鱼都是利用最薄弱的环节。不过,与许多其他类型攻击不同的是,网络钓鱼利用人类行为,而非技术漏洞。无论是预订旅行、响应 Zoom 邀请,还是单纯查看电子邮件,所有在线用户都可能成为攻击目标。
正如最新的《网络钓鱼威胁报告》(基于大约 130 亿封电子邮件的数据)所述,攻击者侧重于伪装成真实的身份:他们试图假冒大众熟知和信赖的品牌,并在正常的“业务往来”互动中利用信任。
为了规避常见的电子邮件安全措施,攻击者不懈努力,伪造看起来真实可信的邮件。以下是他们使用的具体攻击手段的几个关键趋势,以及企业可用于防范这些攻击手段造成数据泄露的策略。
切勿随意点击
欺骗性链接是排名第一的网络钓鱼威胁类别,在威胁检测中的占比达到 35.6%。由于可以任意设置 HTML 中链接(超文本)的显示文本,因此,攻击者可以使 URL 看起来链接的是一个良性网站,而实际上却是恶意网站。
大多数企业已经落实了某种形式的网络安全意识培训,提醒员工注意可疑工作邮件中的链接。但攻击者越来越多地向用户不太谨慎的渠道来投放网络钓鱼诱饵,诱骗用户进入之后点击。
在一种名为“多渠道”网络钓鱼的方法中,攻击可能始于一封电子邮件,然后扩展到短信/文本消息、即时通讯、社交媒体、云协作服务,以及其他通常不受反网络钓鱼控制措施保护的联网工具。
例如,在一次多渠道网络钓鱼活动涉及备受关注的“0ktapus”攻击,该攻击针对了 130 多个企业。攻击者向个人发送短信,然后将他们重定向到假冒的热门单点登录 (SSO) 服务 Okta 的网络钓鱼网站。最终,导致近 10,000 份用户凭据被盗。
在另一次针对多个通信渠道的攻击活动中,攻击者对 Activision 的一名员工实施了网络钓鱼,然后通过公司的内部 Slack 窃取了机密数据。
根据 Cloudflare 委托 Forrester Consulting* 进行的一项全球调查:
89% 的安全决策者表示,担心多渠道网络钓鱼威胁。
80% 的受访者表示,他们的公司在各种渠道上都面临风险,例如即时通信/云协作/生产力工具、移动/短信,以及社交媒体。
然而,只有四分之一的受访者认为,他们的公司已做好充分准备,应对各种渠道的网络钓鱼威胁。
攻击者仍然使用链接,因为即使是最“训练有素”的员工(和安全解决方案),也无法时时 100% 准确发现恶意链接。只要有一位用户点击错误的链接,也可能会导致凭据被盗、恶意软件,以及重大财务损失。
这引出了另一个重要的网络钓鱼趋势:恶意电子邮件会贵避(甚至利用)本应该验证发件人身份的服务。
攻击者“通过”安全检查
网络钓鱼攻击者会伪装成任何知名的公司或品牌来诱骗用户点击。根据研究,攻击者冒充了近 1,000 个不同企业;Microsoft 以及人们在工作中经常与之交互的其他品牌,例如 Salesforce、Box 和 Zoom,均高居榜首。
这种被称为品牌假冒的策略采用了多种技术,包括:
显示名称欺骗,即:在可见电子邮件标题中的发件人显示名称中,包含已知或合法的品牌名称。
域假冒或域欺骗,攻击者注册一个与被假冒品牌域名相似的域,但使用该假冒域来发送网络钓鱼邮件。
尚未被归类为恶意域名的新注册域。在 0ktapus 攻击活动中,攻击者利用了一个在攻击前一小时内才注册的域。
电子邮件身份验证标准(SPF、DKIM 和 DMARC)经常被称为防范品牌假冒的关键措施。但是,这些方法都有各自的局限性。事实上,研究发现,大多数 (89%) 电子邮件威胁都“通过”了 SPF、DKIM 和/或 DMARC 检查。
造成这种情况的原因有很多。例如,大学研究人员最近描述了电子邮件转发中存在的设计缺陷,这些缺陷可能让攻击者能够利用 Microsoft Outlook 的漏洞。
电子邮件身份验证的其他局限性包括:
缺乏内容检查:就像通过挂号信发送信件一样,电子邮件身份验证可以确保邮件已送达;但它不会检查邮件内容是否包含恶意 URL、附件或有效负载。
针对相似域的保护比较有限:电子邮件身份验证��不会提醒用户注意区分正确注册的相似域名或近亲域名;例如,从 name@examp1e.com,而不是 name@example.com 发送的邮件。
配置和持续维护的复杂性:如果配置过于严格,合法邮件会遭到拒绝或标记为垃圾邮件。如果配置过于宽松,则域名可能会被滥用于电子邮件欺骗和网络钓鱼。
网络钓鱼不断变化,不应信任“安全”发件人
正如电子邮件身份验证无法阻止品牌假冒一样,攻击者会不断调整策略。如果攻击者昨天发送了关于 COVID-19 的欺诈信息(世界卫生组织是去年被假冒次数第二多的组织),今天发送了关于学生贷款偿还诈骗邮件,那么明天的网络钓鱼活动可能会包含什么内容呢?
最大的挑战在于,代价高昂的网络钓鱼攻击具有高度针对性且规模较小。被动反应式安全电子邮件网关 (SEG) 很难识别这些攻击,因为它们寻找的是“已知”威胁。
例如,商业电子邮件泄露 (BEC) 是一种社会工程学攻击,它不包含恶意附件或恶意软件,专门针对企业中的特定收件人。攻击者可能假冒目标受害者经常发送消息的人,也可能“劫持”现有的合法电子邮件线程。
全球范围内,BEC 已给企业和个人造成了 500 亿美元的损失;如今,BEC 造成的损失甚至超过了与勒索软件相关的经济损失。以下几个示例,显示了攻击者如何首先深入了解受害者的业务(及其信任的人员),从而成功发起了这些 BEC 攻击活动:
今年早些时候,攻击者监控了康涅狄格州一所公立学校系统首席运营官和供应商的电子邮件,然后开始假冒他/她们,窃取了超过 600 万美元。(进一步了解这种复杂的 BEC 形式,称之为供应商电子邮件泄露)。
一系列 BEC 骗局,诱骗州医疗补助计划、医疗保险管理承包商和私人医疗保险公司将超过 470 万美元的资金转给攻击者,而不是转入目标医院的银行账户。
2022 年,攻击者假冒四家(虚假)公司,从一家食品制造商那里骗取了价值 600,000 美元的货物。此类事件已经变得如此普遍,以至于美国联邦调查局 (FBI)、美国农业部 (USDA) 和美国食品药品监督管理局 (FDA) 联合发布了一份咨询报告,建议企业“检测、防范和应对利用 BEC 发起的产品盗窃行为”。据估计,被盗或“假冒”的食品每年给全球经济造成的损失高达 400 亿美元。
独特的网络钓鱼活动通过瞒骗传统 SEG 智胜对手。这或许就是为什么 Forrester 分析师在一篇关于攻击者利用 Barracuda 电子邮件安全网关漏洞的博客中宣称:“2023 年已经过去了,它不想让电子邮件安全设备卷土重来。”
然后,Forrester 建议将电子邮件安全迁移到云端,原因如下:
更快的自动更新
更简单的架构
灵活的可扩展性,满足需求
无需担心或更换硬件
更轻松的修复和缓解
采用云电子邮件安全取代 SEG 是防范网络钓鱼最重要的步骤。但正如攻击者使用多种渠道发起攻击一样,企业也应确保部署多层防护措施来防范网络钓鱼。
必须利用分层防御策略来抵御网络钓鱼攻击,尤其是在跨多设备的消息传递、云协作和 SaaS 应用带来各种风险的情况下。正如 Forrester 高级分析师 Jess Burn 所述,“为电子邮件收件箱开发的保护措施,必须扩展到这些环境和员工的日常工作流程。”她还补充说:“在选择或续订企业电子邮件安全供应商时,需要了解哪个供应商能够提供或优先考虑更全面的方法来保护员工的所有工作方式。”
利用分层方法,有效阻止未来威胁
即使某封邮件已通过电子邮件身份验证、来自信誉良好的域,并且来自“已知”发件人,也不应该理所当然将其视为可信邮件。相反,防止潜在的网络钓鱼攻击需要采用 Zero Trust 安全模型,该模型会确保所有用户流量都经过验证、过滤、检查,并且与互联网威胁隔离。Cloudflare Zero Trust 可全面防范网络钓鱼威胁,包括:
主动扫描互联网,寻找攻击者的基础设施、攻击源和传播机制,在其发起网络钓鱼活动之前识别并阻止针对基础设施的网络钓鱼。
通过筛选每日数万亿次 DNS 查询,检测专门创建用于假冒合法品牌进行网络钓鱼的主机名。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
*来源:Forrester 机会快照:Cloudflare 委托进行的定制研究,“利用 Zero Trust 来抵御多渠道网络钓鱼威胁”,2023 年 5 月。
深入探讨这个话题
如要进一步了解突破常见电子邮件安全防御措施的现代网络钓鱼威胁,请获取最新的《网络钓鱼威胁报告》!
关键要点
阅读本文后,您将能够了解:
攻击者假冒人们依赖的品牌,让自己看起来真实可信
向多渠道网络钓鱼的演变
为什么说迁移到云电子邮件安全是防范网络钓鱼最重要的步骤
Zero Trust 在保护现代企业方面的作用