網路釣魚不斷演變
利用人類行為的新方式
與任何類型的網路攻擊一樣,網路釣魚也會利用最薄弱的環節。然而,與許多其他攻擊不同的是,網路釣魚利用的是人類行為,而非技術漏洞。無論您是在預訂行程、回覆 Zoom 邀請,還是只是查看電子郵件,所有線上使用者都可能��成為攻擊目標。
正如最新《網路釣魚威脅報告》所述,根據大約 130 億封電子郵件的資料,攻擊者致力於表現得真實:他們試圖冒充我們熟知和信賴的品牌,並利用正常「業務流程」互動中的信任。
攻擊者不斷地製作看似真實的郵件來規避常見的電子郵件安全性。以下是他們所使用的具體攻擊手段的幾個主要趨勢,以及企業可以用來防止這些攻擊手段造成資料外洩的策略。
切勿輕易點擊
欺騙性連結是第一大網路釣魚威脅類型,在所有威脅偵測中佔比高達 35.6%。由於 HTML 中的連結顯示文字(即超連結文字)可以任意設定,攻擊者能讓一個 URL 看起來像是連結到一個安全的網站,實際上卻指向惡意網站。
大多數組織已實施某種形式的網路安全意識訓練,提醒使用者要留意可疑工作郵件中的連結。然而,攻擊者正越來越多地將網路釣魚誘餌投放到使用者較少警惕點擊行為的通道中。
在一種稱為「多通道」網路釣魚的方法中,攻擊可能從一封電子郵件開始,然後持續到簡訊、IM、社交媒體、雲端協作服務以及通常不受防網路釣魚控制措施保護的其他網際網路連線工具。
例如,一場多通道網路釣魚活動涉及備受關注的「0ktapus」攻擊,該攻擊針對了 130 多個組織。��攻擊者向個人傳送簡訊,將他們重新導向到一個冒充流行單一登入 (SSO) 服務 Okta 的網路釣魚網站。最終,近 10,000 個認證被盜。
在另一場針對多個通訊通道的活動中,攻擊者對 Activision 的一名員工進行網路釣魚,然後透過該公司的內部 Slack 通道竊取了機密資料。
根據 Cloudflare 委託 Forrester Consulting 開展的一項全球調查*:
89% 的安全決策者擔心多通道網路釣魚威脅。
十分之八的受訪者表示,他們的公司在各種通道中暴露,例如,IM/雲端協作/生產力工具、行動裝置/SMS 和社交媒體。
然而,只有四分之一的受訪者認為他們的公司已做好充分準備,能夠應對各種通道的網路釣魚威脅。
攻擊者仍然使用連結,因為即使是最「訓練有素」的員工(和安全解決方案)也無法確保 100% 準確地發現惡意連結。只要一個使用者點擊錯誤連結,就可能導致認證盜竊、惡意程式碼和重大財務損失。
這就引出了另一個關鍵的網路釣魚趨勢:惡意電子郵件會刻意規避(甚至反向利用)那些本應驗證寄件者身分的安全服務。
攻擊者「通過」安全檢查
網路釣魚者會冒充任何知名公司或品牌來誘騙人們點擊。根據研究,攻擊者冒充了近 1000 個不同的組織;其中, Microsoft 以及人們在工作上經常接觸的品牌,如 Salesforce、Box 和 Zoom 等,都位居假冒名單的前列。
這種策略稱為品牌假冒,使用多種技術進行,包括:
顯示名稱詐騙,其中可見電子郵件標題中的寄件者顯示名稱包含已知或合法的品牌名稱。
網域冒充或網域詐騙,攻擊者註冊一個與被冒充品牌網域相似的網域,但使用它來傳送網路釣魚訊息。
尚未分類為惡意的新註冊網域。(在 0ktapus 攻擊活動中,攻擊者利用了一個在攻擊發生前一小時內才剛註冊的網域。)
電子郵件驗證標準(如 SPF、DKIM 和 DMARC)常被視為防範品牌冒用的重要防線。然而,這些方法其實存在一定的限制。事實上,研究發現,多達 89% 的電子郵件威脅都能「通過」SPF、DKIM 和/或 DMARC 的檢查。
發生這種情況的原因有很多。例如,大學研究人員最近發現了電子郵件轉發中的漏洞,讓攻擊者能夠利用 Microsoft Outlook 的
電子郵件驗證的其他限制包括:
缺乏內容檢查:就像透過掛號信寄送信件一樣,電子郵件驗證可確保送達;它不會檢查郵件內容是否包含惡意 URL、附件或惡意負載。
對於相似網域的防護有限:電子郵件驗證機制無法警示您有關已正確註冊的相似或相近網域名稱;例如,從 name@examp1e.com 而不是 name@example.com 傳送的郵件。
設定和持續維護的複雜性:如果您的設定過於嚴格,合法的電子郵件可能會被拒收或標記為垃圾郵件;但如果設定過於寬鬆,您的網域就可能被濫用於電子郵件偽造和網路釣魚攻擊。
網路釣魚變化太快,無法單純信任所謂的「安全」寄件者
正如我們所見,電子郵件驗證機制未能有效阻止品牌冒用,攻擊者也在不斷調整策略。如果說昨天他們還在傳送關於新冠疫情的詐騙郵件(世界衛生組織是去年被冒用次數第二多的組織),今天則是學生貸款還款詐騙,那麼明天的網路釣魚攻擊又會以什麼形式出現呢?
最大的挑戰在於,造成最大損失的網路釣魚攻擊往往具有高度針對性且傳送量較小。這類攻擊很難被被動式的安全郵件閘道 (SEG) 所識別,因為這些系統主要依靠偵測「已知」威脅來進行防禦。
例如,商業電子郵件入侵 (BEC) 是一種社交工程攻擊手法,其特點是不包含惡意附件或惡意程式碼,而是針對企業中的特定收件者量身定制。攻擊者可能會假冒受害者日常聯繫的某個人,或者「劫持」一個現有的、合法的電子郵件對話串,以此來增加詐騙成功的機率。
BEC 已在全球範圍內給企業與個人造成了高達 500 億美元的損失;如今,BEC 造成的損失甚至超過了與勒索軟體相關的財務損失。以下是幾個案例,展示了攻擊者如何首先深入瞭解受害者的操作模式(以及他們信任的對象),從而成功發起這些 BEC 詐騙活動:
今年稍早,攻擊者監控了美國康乃狄克州某公立學區 COO 的電子郵件,隨後假冒其身分,並與該學區的供應商聯繫,成功詐騙超過 600 萬美元。(深入瞭解這種被稱為「供應商電子郵件詐騙」的複雜 BEC 形式)。
一系列 BEC 手法成功詐騙了州立醫療補助計畫 (Medicaid)、醫療保險管理承包商 (Medicare Administrative Contractors) 以及私人健康保險公司,將超過 470 萬美元的款項轉入攻擊者帳戶,而非原本應匯入的醫院銀行帳戶。
2022 年,攻擊者冒充四家(虛假)公司,從一家食品製造商處騙取了價值 60 萬美元的貨物。此類事件已變得非常普遍,以至於美國聯邦調查局 (FBI)、美國農業部 (USDA) 和美國食品藥物管理局 (FDA) 聯合發布了一份諮詢報告,建議企業「預防、發現並應對利用 BEC 進行的產品盜竊」。(據估計,被盜或「假冒」食品每年對全球經濟造成的損失高達 400 億美元。)
高度針對性的網路釣魚活動能夠輕鬆繞過傳統的 SEG。這也許正是為什麼 Forrester 分析師在一篇關於攻擊者利用 Barracuda 電子郵件安全閘道漏洞的部落格文章中寫道:「2023 年打來了電話,但它不想收回它的電子郵件安全設備。」
Forrester 繼續建議將電子郵件安全遷移至雲端,原因包括以下幾點:
自動交付更快速的更新
架構更簡單
可擴展性以滿足需求
無需擔心或更換任何硬體
更輕鬆的補救和緩解措施
用雲端電子郵件安全系統取代 SEG 是防範網路釣魚的最重要一步。但正如攻擊者會使用多種通道發動攻擊一樣,企業也應該確保擁有多層級的防護措施來防範網路釣魚。
分層式反網路釣魚已成為必備措施,特別是在跨多種裝置的即時通訊、雲端協作與 SaaS 應用程式都可能帶來風險的情況下。正如 Forrester 資深分析師 Jess Burn 所指出的那樣:「針對電子郵件收件匣所設計的防護措施,必須延伸至這些環境,並覆蓋員工日常工作的整個流程。」她還補充道:「在選擇或續約企業級電子郵件安全供應商時,務必要瞭解哪些廠商能夠提供或優先考慮一種更全面的方案,來保護員工所有的工作方式。」
採用分層防禦策略來抵禦未來威脅的強大效益
即使一封郵件通過了電子郵件驗證、來自信譽良好的網域,並且是由「已知」寄件者所傳送,也不應該被視為絕對可信。相反地,要防止潛在的網路釣魚攻擊,需要採用 Zero Trust 安全模型,確保所有使用者流量都經過驗證、篩選、檢查,並與網際網路威脅隔離。
Cloudflare Zero Trust 解決方案能全面防禦網路釣魚威脅,包括:
將雲端電子郵件安全性與遠端瀏覽器隔離 (RBI) 整合,以自動隔離可疑的電子郵件連結;這樣能防止使用者裝置接觸到惡意的 Web 內容。
主動掃描網際網路,尋找攻擊者所使用的基礎架構、來源及傳遞機制,以便在網路釣魚行動啟動的數天前就識別並封鎖相關的網路釣魚基礎架構。
偵測專門為網路釣魚合法品牌而建立的網域名稱;此方法透過篩選每日數兆筆的 DNS 查詢來實現。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
*資料來源:Forrester Opportunity Snapshot:Cloudflare 委託進行的客製化研究,《利用 Zero Trust 打擊多通道網路釣魚威脅》,2023 年 5 月。
深入探討這個主題。
請獲取最新《網路釣魚威脅報告》,深入瞭解繞過常見電子郵件安全防禦的現代網路釣魚威脅!
重點
閱讀本文後,您將能夠瞭解:
攻擊者假冒我們所信賴的品牌,讓人難以辨識其真偽
向多通道網路釣魚演變
遷移至雲端電子郵件安全性如何成為防止網路釣魚的最重要步驟
Zero Trust 在保護現代企業方面的作用