钓鱼邮件作为一种古老的网络攻击手段,是企业和个人最常见的网络威胁之一。以及零日漏洞APT与攻击等高危攻击方法相比,钓鱼邮件非常重要“老套”。
但是,“老套”这并不意味着无效。相反,随着网络空间的不断发展和增长,这一点“老套的”攻击每年都给企业带来难以形容的巨大损失。
2021年Q2 Coremail根据邮件安全报告和2021年的数据,Q1相比,Q2邮件安全问题层出不穷,钓鱼邮件季环比增长21.27%,同比增长甚至呈翻倍上升趋势。
另一份报告指出,美国大型企业平均每年损失1480万美元,远高于2015年的380万美元。在过去的六年里,美国大型企业的平均网络钓鱼成本飙升了289%,年平均损失近1500万美元。
同时,网络钓鱼凭证也是勒索软件和商业电子邮件入侵 (BEC) 的常见起点。报告称,勒索软件每年给大型企业造成570万美元的损失,BEC600万美元。比勒索软件和网络钓鱼造成的损失BEC损失的总和还多。
钓鱼邮件猖獗可见一斑。
用数字符号避免钓鱼检测
面对日益频发的钓鱼邮件攻击,不少企业开始部署各种反钓鱼邮件的工具和解决方案,而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。
据Security affairs近日,某钓鱼邮件组织突发奇想,用数字符号干扰反钓鱼邮件检测,甚至取得了不错的效果。
电子邮件保护制造商INKY安全研究人员详细介绍了这种情况“新型”钓鱼邮件攻击的核心是用各种数字符号替换公司logo或者名字中的字母,达到“欺骗”反钓鱼邮件或反垃圾邮件产品的目标。
美国电信巨头Verizon成了这种新型攻击的首个目标,自2021年11日开始,不少用户收到了“修改密码”钓鱼邮件。不久之后,许多用户的账户被盗,有些甚至被盗,刷信用卡,损失了数千美元,但Verizon说公司系统被破坏了。
在重新审查钓鱼邮件攻击事件后,安全人员发现钓鱼邮件并没有使用太多新技术,而是使用了高超的邮件“伪装”。
红平方根字符,NOR逻辑操作符或汉字符号中的钩(√),这些简单的数学符号创造了逻辑干扰,甚至欺骗了反垃圾邮件检测“眼睛”,因此,这些邮件成功地发送给用户。
这波操作如此有效的原因是Verizon公司的logo使用红色,不对称“V”,和平方根符号或“勾”如下图所示,相似度很高。
(不仔细看就分不清有木有)
所以很多用户收到邮件后,根本没有发现是假邮件。
但是钓鱼邮件的伪装远不止这些,他们还创造了一个非常相似的假冒Verizon该公司的网页。攻击者在电子邮件中使用了一个简单的数字字符,用户可以在点击后定向链接到假网站。
这个假恶意网站和真网站有多相似?INKY他们几乎完全克隆了安全研究人员的说法Verizon该公司的官方网站使用了几乎相同的设计元素。
这欺骗了很多用户,他们填写了自己的登录页面Office 365帐号密码登录,所有这些信息都落入攻击者手中。
有趣的是,用户在第一次登录时会显示它“登录错误”,并要求再次输入帐户密码,最终显示的页面是“无法登录”。
两次输入意味着两次信息收集,但是INKY安全研究人员无法理解这波操作的真正原因。他们猜测攻击者想要确认账户密码的真实性,或引导用户输入其他账户密码,这样他们就可以收集两套登录凭证,以两种价格出售。
INKY进一步研究发现,钓鱼邮件攻击者直接使用Gmail账户发送钓鱼信息。之所以如此明目张胆,是因为它们可以通过标准的电子邮件身份验证(SPF、DKIM和DMARC)。在等待用户的假恶意网站中,最新的零日漏洞足以给用户造成严重损失。
其实已经不是了Verizon该公司于2021年首次遭遇钓鱼邮件攻击。
2021年4月,Verizon该公司的移动用户遭到钓鱼攻击,并欺骗用户窃取电话号码ID、2019年2月和3月,密码和其他私人数据信息也遭两次钓鱼邮件攻击。
频繁的钓鱼攻击不仅给用户带来了一定的损失,也给用户带来了一定的损失Verizon公司声誉和业务造成一定损害。
此外,值得注意的是,前三次钓鱼邮件攻击略显粗糙,最近一次钓鱼邮件明显出现“定制化”趋势。攻击者用更巧妙的手段隐瞒了企业反钓鱼邮件的检测和许多粗心的用户。
如何有效预防钓鱼邮件?
众所周知,钓鱼邮件的核心是一个“伪”只要是假的,就会有各种各样的线索。我们可以通过这些线索来分别是否是钓鱼邮件,以避免落入攻击者的陷阱。
以下是安全专家提供的预防钓鱼邮件的建议:
(1) 来自Gmail或其他免费电子邮件提供商(如雅虎,AOL或Hotmail)保持警惕,仔细核对发件人和邮件的真实性。
(2) 确保在下载任何附件之前进行检查,特别是未经要求的电子邮件。更好的方法是仔细检查发件人的电子邮件地址,并注意高风险附件文件。不要轻易下载附件或点击不熟悉的链接。
(3) 不要通过电子邮件提供敏感信息。如果电子邮件要求收件人提供信用卡、税号、社会保障信息或任何其他敏感细节,那基本上就是钓鱼邮件。
(4) 安装反钓鱼邮件工具。目前很多杀毒软件和浏览器都包含反钓鱼邮件工具,可以帮助我们拦截大部分钓鱼邮件,并有相应的提醒。
(5) 保护重要文件。钓鱼邮件往往只是勒索攻击的开始,及时备份重要邮件,防止勒索攻击锁定文件造成巨大损失。
参考来源:https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html