利用合法服务的网络钓鱼攻击
恶意行为者通常会在网络钓鱼攻击活动中假冒受信任的品牌,增加其消息的可信度。事实上,超过 51% 的网络钓鱼攻击假冒了全球 20 大品牌之一。最新研究显示,这些网络犯罪分子不断升级攻击手段,不再只是假冒品牌,而且还会利用这些品牌的合法服务来传播恶意有效负载。
《2023 年网络钓鱼威胁报告》显示,网络钓鱼电子邮件数量有所增加,攻击者利用 LinkedIn 和百度等品牌提供的合法服务来发送恶意链接。恶意行为者一直在利用这些服务将用户重定向到恶意网站,试图窃取用户凭据。此外,他们还会利用合法的电子邮件发送服务(例如 Sendgrid)。
虽然这些�攻击活动中使用的具体诱饵可能有所不同,但大多数网络钓鱼攻击都假冒 DocuSign(如下图所示)。在此特定实例中,攻击者使用 DocuSign 发送了一封主题行为“Document shared for 552 Friday-August-2023 07:07 AM’”的电子邮件。
图 1:假冒 DocuSign 电子邮件中使用的 PNG
如上图所示,恶意行为者使用了一张看似合法的 DocuSign 请求的 PNG 图片,该请求已超链接到中国的热门搜索引擎百度:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
但链接会重定向到:hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
发件人使用了合法的业务域;@ciptaprimayoga.com 似乎是一家印度尼西亚电池公司,可能遭到了入侵。使用合法域让攻击者能够绕过安全措施,作为缓解流程的一个环节,这些安全措施会检查域年龄(即:从注册起到现在的使用天数)。
点击链接后,收件人的公司信息(通过 URL 路径)会自动显示在自定义的 Microsoft 登录页面中。
作为研究的一个环节,我们点击了恶意链接,自定义的 Cloudflare 登录页面动态加载了公司徽标以及著名的 Cloudflare 熔岩灯背景图片。
图 2:使用 Cloudflare 品牌伪造的 Microsoft 凭据网络钓鱼
在用户输入凭据后,攻击者会收集凭据,然后将网站重定向到 Office.com。
另一个经常被滥用于发送网络钓鱼邮件的服务是 SendGrid,如下图所示,攻击者利用这家电子邮件营销公司来发送 PayPal 电话诈骗邮件。使用 SendGrid,恶意行为者可以绕过传统的电子邮件安全方法,例如发件人策略框架 (SPF)、域密钥识别邮件 (DKIM),以及基于域的邮件身份验证、报告和一致性 (DMARC),从而增加其活动的可信度。
图 3:使用 SendGrid 发送的 PayPal 电话诈骗邮件
这种骗局及类似骗局会诱骗用户拨打列出的电话号码,然后转接到呼叫中心,而恶意行为者正在那里等待着诱骗受害者安装恶意软件并通过电话窃取银行信息。
89% 的电子邮件身份验证无法阻止威胁。随着网络钓鱼手段的日益增加且逐渐渗透到用户收件箱,强化企业文化中的网络韧性并保护企业免受电子邮件威胁,变得比以往任何时候都更加重要。
Cloudflare Email Security 利用先进的机器学习和人工智能技术,实时发现恶意行为者用于绕过传统安全和云电子邮件提供商的新手段。申请免费网络钓鱼风险评估,了解现有电子邮件安全系统可能放任了哪些网络钓鱼攻击。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
获取《2023 年网络钓鱼威胁报告》,查看关于近期趋势的完整发现,以及防范攻击得逞的建议。
作者
Maaz Qureshi
Cloudflare 威胁响应工程师
关键要点
阅读本文后,您将能够了解:
合法服务被用于发送恶意有效负载
89% 的电子邮件身份验证无法阻止威胁
先发制人的电子邮件安全如何发现绕过传统安全措施的新手段