• 幕后黑手不斷進化 針對企業的新型釣魚手法都有哪些?

    首頁 / 業界 / 資訊 /  正文
    來源:安全419
    發布于:1年前
    近年來,企業數據泄露已成為全球最常見的網絡安全事件之一。據外媒報道,Risk Based Security公司統計數據表明,截至第三季度,2020年全年數據泄露的總數已經超過了360億。黑客正在利用一切機會來攻擊大型企業,以獲取經濟利益。美國電信巨頭Verizons不久前發布的《 Verizons2019 年數據泄露調查報告》則顯示,32%的企業數據泄露的罪魁禍首是網絡釣魚電子郵件。此外,78%的網絡間諜活動都使用了網絡釣魚。

    網絡釣魚攻擊是一種典型常見的欺詐式攻擊,攻擊發起者通常會偽裝成真實的人、系統或者企業,通過電子郵件或其他通信渠道,使用網絡釣魚電子郵件分發可執行各種功能的惡意鏈接或附件,從受害者中提取登錄憑據或帳戶信息;或者自動下載惡意軟件,讓受害者使用惡意軟件感染自己的計算機,并以捕獲最終用戶的敏感數據作為最終目標。



    隨著人們網絡安全意識的提升,網絡釣魚的手法也變得越來越高明。攻擊者的社工經驗愈加豐富,釣魚技術也愈加的先進和新穎。近年常見針對企業的網絡釣魚攻擊方式主要有以下幾類:

    1、魚叉式網絡釣魚攻擊
    魚叉攻擊是一種較為高級的網絡釣魚攻擊手法。一般通過電子郵件等電子通信方式進行,針對特定個人、組織或企業。通常來說,攻擊者會花時間了解攻擊目標的姓名、郵箱地址、社交媒體賬號等特定信息,進而假冒個人、組織甚至政府機構等權威機構的名義,發送虛假內容、惡意文件或惡意鏈接,誘使受害者點擊或者登陸賬號密碼等。一旦受害者點擊鏈接或輸入賬號密碼,相關信息就會被竊取,黑客甚至會借機安裝木馬等惡意程序,持續破壞目標計算機。

    由于魚叉式網絡釣魚攻擊的目標一般而言是特定公司、組織之成員,數據竊取目標一般為知識產權及商業機密等。魚叉式網絡釣魚攻擊的發起者會針對不同人設計不同的方法和社會工程技術,有效地將釣魚消息和釣魚網站做得個性化,更易于騙取信任。 因此,即便是組織內部的高層管理人員也有可能被欺騙去打開他們認為安全的郵件而被釣魚。 網絡犯罪分子借此可以竊取所需的數據,進一步攻擊目標人士所在的網絡。

    魚叉式釣魚具有定制化、精準化的特性,傳統的安全措施通常無法阻止這些攻擊。 因此,魚叉式釣魚越來越難以被檢測到。 一旦員工失手點擊了釣魚郵件,可能會對企業、政府乃至非營利組織帶來嚴重后果。

    2、捕鯨攻擊
    捕鯨攻擊是魚叉式網絡釣魚的一種形式,攻擊者通常會偽裝成組織內的高級管理人員身份,竊取大額資金。典型的捕鯨攻擊針對的是能夠授權付款的高級員工,通過仿造高層管理者的付款指令,來騙取目標向攻擊者付款。
    攻擊者不針對組織內的低級別人員,而是針對高層,如首席執行官,首席財務官和首席運營官。釣鯨的目標是經過精心挑選的,釣鯨需要依賴于社交工程,攻擊者需要更好的了解目標。通常攻擊者會先從互聯網和各種社交媒體平臺獲取目標的相關信息,然后再用此信息設計有針對性的釣魚。

    3. 水坑攻擊
    水坑攻擊是一種成功率較高的網絡攻擊方式,攻擊目標多為特定的團體。攻擊者首先通過猜測確定這組目標經常訪問的網站,然后入侵其中一個或多個網站,植入惡意軟件。在目標訪問該網站時,會被重定向到惡意網址或觸發惡意軟件執行,導致該組目標中部分成員甚至全部成員被感染。按照這個思路,水坑攻擊其實也可以算是魚叉式釣魚的一種延伸。

    水坑攻擊主要呈現出兩個特征:多屬于 APT 攻擊,目標多為是大型、重要企業的員工或網站;多利用 0-day 漏洞。

    4. 燈籠式釣魚
    燈籠式釣魚,是一種新型的、基于社交媒體的釣魚欺詐方法,常見于Twitter, Facebook和Instagram等熱門社交媒體平臺。欺詐者通過創建仿冒的品牌賬號/門戶,先吸引目標關注(燈籠式吸引),騙取信任后,再將用戶誘導至實際的釣魚鏈接,完成欺詐,這種手法常見于銀行、電商、零售等行業。

    5. 商業郵件欺詐
    欺詐者通過注冊與客戶主體接近的域名,并發送相關郵件,利用社會工程學技巧,進行仿冒和欺詐活動。與純粹的電子郵件欺騙(Email Spoofing,偽造電子郵件頭,散播釣魚網址鏈接或惡意附件)不同,這類郵件欺詐往往更加隱蔽,目標一般是公司管理層或財務等核心部門人員,其欺詐目標和意圖也更高,給企業帶來的危害更大。

    因為攻擊者常常仿冒企業的高級管理人員向較低級別的員工下達指令來進行,因此這類欺詐有時也會被稱為CEO欺詐(CEO Fraud)。

    6. 克隆釣魚
    克隆網絡釣魚屬于郵件欺詐中的一種手法,攻擊者利用受害者已收到的合法郵件內容,創建其惡意復制版本來進行欺詐。攻擊會先將原始郵件的內容復制一份,但把其中的鏈接或附件替換為惡意內容,然后用一個看似合法接近的郵箱名稱重新發送,借口一般是上一封電子郵件的鏈接或附件存在問題,誘使用戶點擊它們。這種方法也常常會生效。

    7. 域名欺騙
    域名欺騙是一種最常見的網絡釣魚形式,攻擊者使用與企業非常相近的域名來仿冒企業本身或企業員工進行欺詐。通常攻擊者會注冊一個與企業域名非常相似的域名,然后利用此域名發送電子郵件,或者搭建一個欺詐網站,欺詐網站會使用企業商標或視覺設計風格來進行仿冒,而郵件會盡可能采用企業業務相關的行業術語以增強其可信性。用戶通常會被提示輸入財務細節或其他敏感數據,并相信這些數據被發送到了正確的位置。

    8. 惡意孿生
    惡意孿生攻擊是利用Wi-Fi進行的網絡釣魚形式,TechTarget.com將一個邪惡孿生描述為“偽裝成合法Wi-Fi的流氓無線熱點,攻擊者可以在最終用戶毫不知情的情況下收集個人或公司信息。”此類攻擊也被稱為作為星巴克騙局,因為它經常發生在咖啡店周圍。

    攻擊者會創建一個看似真實的Wi-Fi熱點,甚至設置成與真實網絡相同的服務標識符(SSID),當最終用戶連接時,攻擊者可以竊聽他們的網絡流量并竊取他們的帳戶名、密碼,并查看用戶在連接到惡意熱點后訪問的任何附件內容。

    9. 短信釣魚
    短信釣魚這種形式,利用了大家對短信和即時通信的依賴。攻擊者發送看似來自合法來源、但包含惡意URL的文本消息,來誘使用戶點擊并下載惡意附件。短信可能偽裝成折扣優惠券、中獎信息或節目免費門票的優惠等等形式。

    10. 語音釣魚
    語音釣魚,是指通過電話進行釣魚欺詐。當攻擊者打電話給用戶,試圖讓用戶提供個人或財務信息時,就屬于此類釣魚。攻擊者經常用自動呼叫來發起通話,如果用戶陷入套路,會被轉接至詐騙者直接進行對話。他們還會使用移動應用程序和其他技術來篡改甚至完全隱藏來電號碼。

    此類攻擊者經常使用各種社會工程策略來誘騙用戶提供信息。一般的方法是,他們會假裝是有關部門、銀行工作人員或公司相關管理人員,電話中會宣稱用戶有違法行為、或者信用卡有可疑活動需要立即關閉,等等方式。接下來。他們需要“驗證”用戶的個人信息,然后才能關閉卡并重新簽發新卡,欺詐由此發生。

    11. 雪鞋攻擊
    雪鞋攻擊,又稱為“肇事逃逸”垃圾郵件,需要攻擊者通過多個域和IP地址推出消息。每個IP地址發送的郵件量都很低,基于信譽的反垃圾郵件過濾技術無法立即識別和阻止,因此在過濾規則更新之前,此類郵件就已經送達用戶的收件箱。

    12. 域欺騙
    域欺騙( Pharming )也被稱為“無誘餌網絡釣魚”,最早出現在2004年,通過入侵DNS的方式,將使用者導引到偽造的網站上,因此又被稱為DNS下毒(DNS Poisoning)。域欺騙( Pharming )攻擊不需要依賴于一個欺詐網站來引誘目標。攻擊者通過攻擊DNS,將流量重定向到他們的釣魚網站。一旦受害者到達這個假冒網站,網絡犯罪分子只是坐下來等待,而毫無戒心的用戶照常登錄,在不知不覺中泄漏了敏感個人信息。

    對于企業而言, 想要避免網絡釣魚攻擊給企業帶來的損失,必須從技術手段和員工安全意識教育兩方面同時著手,才能盡可能規避風險,因此,安全419建議企業用戶:

    1、實施雙因素身份認證。如果登錄證書被盜用,攻擊者在利用這些證書之前仍需要第二個認證因素。盡管這種措施無法阻止攻擊者竊取登錄憑證,但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證;
    2、人是企業安全閉環中最重要的一部分,卻也是企業安全中最容易失陷的陣地。因此加強員工安全意識教育培訓,是增強企業安全運營能力的重要一環;
    3、安裝部署專業的釣魚入侵檢測產品,對仿冒欺詐網站實時監測,防止企業員工打開惡意文件。