美国联邦调查局 (FBI) 在其全新的本年度报告中明确,2020 年商业服务电子邮箱泄漏 (BEC) 和本人电子邮箱账号泄漏 (EAC)在国外导致的损失最少为 18.6 亿美金,比 2019 年报告的损失提升了 5%。BEC和EAC占英国2020年报告的全部黑客攻击损失的45%,60岁以上的本人占报告的受害者的11%。
粗略地较为,目前为止已发现的较大勒索软件损失为 4000 万美金。 2021 年 Unit 42 勒索软件危害报告发觉,2020 年勒索软件的均值赎金为 847344 美金,而受害者支付的均值赎金为 312493 美金。 2021 年上半年度,均值支付的赎金增涨了 82%,做到 570000 美金。但是这种均值支付赎金的数据是谨慎的,由于他们只包含支付赎金中的立即钱财损失。还不包含与企业在进攻期内被经营有关的损失,都不包含调研违规操作所耗费的資源。
全部这种进攻(BEC、EAC 和勒索软件)都是有一个相同点,他们必须具备对总体目标互联网或账号的浏览权利。针对大部分网络攻击而言,应对这些有着一般或小于一般互联网防御力的总体目标,装扮成合理合法客户或报道员进到互联网或帐户,依然是得到密秘访问限制、与此同时维持低被发觉风险性的非常简单、最经济发展的方式。根据应用合理合法凭据和公布可以用的技术性,故意个人行为者可以“躲避防御力,窃取和盗取互联网中的各类信息内容”。尽管 APT 根据暴力行为凭据进攻取得成功地完成了他俩的进攻总体目标,但在很多情形下,网络攻击仅仅规定不知道的受害者拿出这些人的安全性凭据。
电子邮箱凭据窃取技术性的发展趋势
BEC/EAC 进攻的盈利丰富,促进网络攻击持续改动和更新它们的进攻对策,以绕开各种各样保障措施。在其中一项较新的技术性集成化了鱼叉式钓鱼攻击、自定网页页面和复杂性的云单点登录生态体系,以引诱客户无意间地泄漏其凭据。一种时兴的对策是应用看起来良好的网页页面,一旦开启,便会十分效仿时兴和常见服务项目的合理合法登陆显示屏,例如:
Dropbox在一份申明中表明:“此项行动与Dropbox的服务项目不相干。这说明,依靠顾客分辨真假的难度系数越来越大。
当诈骗犯应用这类对策时,她们通常会先推送含有鱼饵的电子邮箱,引诱收货人开启配件或点击网页连接。电子邮箱通常专注于业务流程经营的一些一部分(包含会计、人力资源管理、货运物流和一般公司办公室经营),并偏向一个与必须客户使用的主题风格有关的配件或连接。这种主题风格包含汇钱、税票、未偿还账款、价格要求(RFQ)、选购确定、运输情况、视频语音电子邮件或根据电子邮件发送发传真等。为了更好地使电子邮箱看上去更合理合法,一些网络攻击以令人难忘的形式融合了总体目标的详细信息内容,包含在电子邮箱的题材中。近期的一些邮件主题包含:
一旦开启,电子邮箱便会展现给客户一个非常典型的登陆页面。为了更好地减少猜疑,网络攻击常常以加强安全性为旗号让客户销户帐户。在某种情形下,推送网页页面时早已包括了使用者的电子邮箱地址(再度试着提升要求的合理合法),而且只规定输入支付密码。这种虚假性的登陆显示屏会传出报警,例如:
- 你需要根据电子邮件登录,以保证你是受维护文档的合理合法收货人,邮箱服务器的文档由“插进安全性经销商”维护;
- 要阅读文章该文本文档,输入您此文档发送至的合理电子邮箱凭证;
- 因为你已经浏览比较敏感信息内容,因而必须认证你的登陆密码;
- 因为你已经浏览比较敏感信息内容,因而必须身份认证;
- 无法识别该机器设备,为了更好地安全起见,公司名字要真正;
- 你的电子邮箱账号(登录名)早已销户,请单击“明确”以登陆;
- 请登录你的账号以查询受保障的文档;
- 你早已销户,输入您恰当的邮箱地址和登陆密码;
- 根据登陆 Office 以从任何地方浏览你的文本文档;
- 你的密码是查询发传真信息内容的安全性登陆密码。
仿真模拟Microsoft的故意登陆要求的实例,必须凭据才可以浏览文本文档
一个故意登陆要求仿真模拟SharePoint的事例,必须凭据才可以浏览文本文档
仿真模拟Microsoft的故意登陆要求的实例,必须凭据才可以浏览文本文档
网络攻击们还加上了精妙的战略来进一步蒙骗客户。在某种情形下,她们自定搭建她们的“登陆”模版,以配对她们所应对的特殊企业应用的企业邮箱网站的外形和觉得。在其它状况下,她们会按照客户电子邮箱地址的域一部分自动识别关联企业,随后将该公司的logo集成化到诈骗网页页面中。
JavaScript实例,用以从受害者的电子邮箱地址鉴别机构,随后将其logo合拼到后面网页页面中。
除此之外,很多网络攻击已经她们的编码中加上逻辑性,以保证客户精确键入凭据。一个文件格式有误的电子邮箱地址或空缺的登陆密码将出现一个不正确标示客户再试。网络攻击还会继续对第一次恰当恢复出厂设置的试着全自动作出“密码错误,请再试一次”的反映。这种技术性提升了网络攻击接到合理登陆密码的概率,并有可能降低慎重客户的猜疑,这种客户很有可能最先键入假凭据来检查要求是不是合理合法。
用以认证凭据的 JavaScript 实例
假定诈骗犯觉得她们让客户打开文件配件的机遇太低,或是她们可以构建一个有点儿可靠的彻底限制网站域名。在这样的情况下,她们还能够简易地将客户偏向合理合法托管服务上的网址,上边的新技术都包括在一个代管网页页面中。近期客户很有可能不正确导航栏到的一些恶意网站包含:
客户键入并递交凭据后,Web 电脑浏览器会将 HTTP 公布要求中的数据发送至通常以 *.php 末尾的 URL。做为HTML文件CPU,PHP 使诈骗犯可以轻轻松松捕获一切接到的凭据,对它进行编解码并将其储存在数据库系统中。除此之外,尽管网络攻击可以选购和保护适用这种骗术的 Web 域,但大家见到很多应用之前黑客攻击和合拼的合理合法域来达到这种骗人的要求。
这类对合理合法基础设施建设的故意应用给互联网防御者产生了2个挑戰。最先,鉴别故意总流量是艰难的,因为它产生在2个潜在性的可靠互联网中间。次之,一旦鉴别为故意主题活动寄主,阻拦合理合法网站域名通常是不太可能的,因为它也会阻拦该网站域名的合理合法和常常必须的內容。因为这种缘故及其零成本,网络黑客们愈来愈多地借助额外的基础设施建设来实现她们需要的目地。
为了避免客户在无法登录虚报网址时造成猜疑,诈骗犯通常会选用下列方式:
- 跳转到客户觉得她们正在登录的合理合法网址,假如早已登陆,这会将它们立即送到她们的账号中,进而提升她们对要求的合理合法的觉得;
- “服务项目不能用不正确”提议她们稍候重试;
- “找不到文件”不正确;
- “扫描件锁住”不正确和“跳转回你的账号”,随后将客户跳转回其合理合法发件箱;
- 通用性內容;
- 为钓鱼攻击试着订制的內容。
一旦网络攻击盗取了高效的客户凭据,她们就离骗领企业或客户的资产更近了一步。网络攻击将应用窃取到的凭据对消费者的文档、买卖和通讯开展基本侦查。拥有这种信息内容,网络攻击现在可以能够更好地掌握下列状况:鉴别别的使用价值总体目标、掌握一切正常的工作流程和审核链、运用客户的文本文档或文件共享访问限制来建立自定钓鱼攻击文本文档,并根据掩藏为账号客户来应用账号获得资金权益或转为更能够赚钱的自然环境。
汇总
针对公司或客户而言,检验以上故意对策很有可能十分具备趣味性。除此之外,大部分网络安全产品通常不容易全自动将这种主题活动检验为故意主题活动,由于诈骗犯们在其骗术中采用了合理合法网页页面的精准团本,并没将木马病毒、恶意程序、键盘记录器程序流程或其它恶意程序列入她们的窃取试着。 Unit 42 科学研究工作人员提议采用下列方法来减少以上对策导致的电子邮箱泄漏风险性:
- 对全部公司和私人帐户执行多要素身份认证;
- 不断创新和学习培训客户有关 BEC/本人 EAC 骗术中采用的不断进步的对策和社会工程;
- 不要相信一切连接,自始至终认证;
- 保证客户和管理人员搞清楚,即使文档取得成功根据病毒扫描,它依然很有可能具备故意目地;
- 保证客户掌握什么服务项目是单点登录及其浏览这种账号的合理合法 URL;
- 按时修改密码,每一个账号应用一个单独的复杂密码,并应用密码管理软件来追踪凭据。
文中翻譯自:https://unit42.paloaltonetworks.com/credential-harvesting/