我称之为黑客“深海网络钓鱼”该方法提高了他们的攻击水平,即使用我将提到的一些技术来使自己更具攻击性。为了跟上步伐,网络安全创新者一直在努力开发工具、技术和资源来提高他们的防御能力。然而,该组织如何应对尚未开始甚至未构思的持续演变的威胁呢?
比如今年2月,10000Microsoft用户成为网络钓鱼活动的目标,该活动发送声称来自FedEx、DHL Express与其他快递公司的电子邮件包括指向托管在合法领域的在线钓鱼页面的链接,目的是获取收件人的工作电子邮件凭证。使用合法域名可以使电子邮件避免安全过滤,人们依赖快递服务和疫情相关信息提高了钓鱼活动的成功率。
今年5月,攻击者推出了以支付为主题的大规模、复杂的在线钓鱼活动。在线钓鱼电子邮件敦促用户打开额外的“付款建议”——事实上,这根本不是附件,而是一个指向恶意域链接的图像。打开后,基于Java的STRRAT恶意软件通过命令和控制下载到端点(C2)服务器连接运行后门功能,如从浏览器收集密码、运行远程命令和PowerShell、记录击键等犯罪活动。
网络钓鱼不再是地下酝酿的小规模网络骚扰。如今,近70%的网络攻击(如上所述)是由有组织犯罪或与民族国家有关的行为者精心策划的。recovery tab达到数百万,组织需要一个解决方案来保护他们免受未设计的攻击,这可能会造成最大的损害0day攻击。
但在我们解决防御问题之前,让我们先看看我们想要防御的对象。下面提到的在线钓鱼策略的类型是根据复杂程度的升列的。
网络钓鱼类型
并非所有网络钓鱼攻击造成的损害都是一样的,但所有网络钓鱼攻击都会在设计上损害组织,可能会损害巨额的财务支出、补救成本、收入损失和声誉。攻击范围从典型的网络钓鱼电子邮件到复杂的鱼叉网络钓鱼计划“捕鲸”。
(1) 钓鱼邮件
在普通的在线钓鱼活动中,在线钓鱼者向大量的收件人发送电子邮件,他们有充分的理由期望少数收件人点击。在线钓鱼电子邮件通常邮件通常被设计成来自信任公司的官方信息。然而,当收件人点击电子邮件中嵌入的看似无害的链接时,恶意软件可以直接下载到他们的设备上,或打开恶意网页,下载恶意软件或需要输入凭证、账户或其他有价值的数据等个人信息.
(2) 鱼叉网络钓鱼电子邮件
与网络钓鱼不同,鱼叉网络钓鱼电子邮件针对特定的个人或组织具有高度的针对性。网络犯罪分子利用社交媒体和其他公共信息为特定个人创建个性化的电子邮件,并伪装成值得信赖的发件人。
比如4月份,5亿LinkedIn账户的个人信息从社交媒体平台上被捕获和泄露,并作为鱼叉网络钓鱼攻击的诱饵出售。由于鱼叉网络钓鱼电子邮件是个性化的,收件人更有可能点击恶意链接,甚至在登录页面上输入凭证。
(3) 捕鲸
捕鲸是鱼叉网络钓鱼的一种形式,旨在获取高度敏感的个人或业务数据,如首席执行官和首席财务官。“发件人”目标个人可以伪装成业务伙伴、客户或需要解决关键业务问题的人。捕鲸电子邮件的主要目标是窃取敏感的商业信息。
鱼叉网络钓鱼和捕鲸与一般网络钓鱼攻击的区别在于利用个人和专业数据在接收者眼中建立更高的合法性。它们是每个人都需要预防的一种高成功率的网络钓鱼形式。
网络犯罪分子的成功主要归功于个人
更复杂的在线钓鱼攻击需要更多的开发时间和精力,投资将以更大的预期获得回报,特别是在恶意软件分层时。这些方法对罪犯仍然有效:事实上,根据全球情况MSP67%的受访者表示,网络钓鱼电子邮件是勒索软件攻击最常见的传输渠道。
许多公司要求员工定期接受反网络钓鱼培训,但员工培训不足以保护组织,因为人是网络安全链中最薄弱的环节。人们很容易被欺骗,习惯于驱动生物,我们很容易点击伤害整个网络的链接。
Verizon2021年数据泄露调查报告(DBIR)最高发现指出,85%的泄漏涉及人为因素,36%涉及网络钓鱼(比去年增加11%),10%涉及勒索软件——是前一年的两倍。
勒索软件-网络钓鱼链接
勒索软件攻击(通常从网络钓鱼开始)将对其绩效、财务稳定性和未来产生什么影响。更重要的是,他们应该评估他们的网络安全策略和安全结构。
据SonicWall勒索软件攻击自2019年以来增加了62%。
这种冲击包括小型企业。估计有一半的网络攻击都针对这一群体,他们可能没有与大型组织相同的网络钓鱼意识培训。由此产生的收入损失和补救成本、停机时间、声誉损害和法律费用对小型企业来说都是巨大的打击。
勒索软件不断发展……
新的发展使勒索软件更具威胁性。FBI的说法,Ryuk它是目前勒索量最高的软件。现在,它还添加了类似蠕虫的功能,这使得它不再依赖于人工点击来传播。这是一个令人担忧的主要情况。
考虑一下:初始感染只发生在几秒钟内。当用户单击在线钓鱼电子邮件中的链接时,启动的勒索软件将迅速在整个网络中水平传播PC加密服务器,最大限度地造成损坏-并为你组织的网络犯罪分子带来最大的利润。
然后勒索软件将阅读感染文件,搜索用户凭证,以便通过网络计算机或映射驱动器之间的远程桌面连接更快地传输。在云上备份数据是一种很好的方法,但可能还不够。
复杂的勒索软件可以以共享网络驱动器和云备份服务上的文件为目标,瘫痪你的整个组织,让你被网络犯罪分子肆意分配。
勒索软件的影响也可能远远超过业务本身。例如,5月份对业务本身的影响Colonial Pipeline(一家拥有900名员工的公司)勒索软件攻击导致5500英里长的管道关闭,这些管道输送了美国东海岸45%的燃料供应。在数千万人和组织恢复服务(包括医疗服务、执法机构、消防部门、机场和公众)的压力下,公司不得不支付440万美元的赎金。
人的行为很难改变
一封电子邮件只需要在一个易受攻击的时刻命中,其诱饵就会引诱收到它的员工,让该人点击网络钓鱼电子邮件中看似合法的链接来下载受感染的文件。面对当今的0day威胁和先进的恶意软件需要比基于签名的扫描技术和发现已知恶意领域更强大的防御。
该组织不能依赖其用户作为抵御网络钓鱼的最后一道防线。毕竟,用户漏洞是网络钓鱼如此有效和广泛使用的原因。不要责怪你的员工:网络犯罪分子是研究和使用人类行为最复杂的专家。
防御选项:远程浏览器隔离
由于各种原因,我们必须考虑一种非常不同的方法,即在存在漏洞时防止暴露在恶意软件和勒索软件中。随着网络钓鱼攻击越来越多的层次和方面,很难说下一种网络犯罪的新方法是什么,所以面向未来的概念变得非常重要。
远程浏览器隔离(RBI)即使是最复杂的基于组织的防御Web的攻击。当用户单击电子邮件中的链接或打开新的浏览器选项卡时,RBI虚拟浏览器将在云中远程隔离容器中执行Web内容。只有安全的渲染数据才会发送到用户的常规端点浏览器,从而提供完全互动的常规浏览体验。Web内容到达用户设备,只能通过阅读模式打开潜在风险网站,防止凭证被盗。因此,用户可以100%避免恶意网站和在线钓鱼电子邮件URL恶意软件攻击。
网络钓鱼不仅存在,而且每天都变得越来越先进和危险。接受人类容易犯错误和操纵是非常重要的。因此,组织不应注重培训,而应选择有效保护组织免受网络犯罪分子影响的解决方案。RBI隔离用户,并将他们与恶意电子邮件链接到网上钓鱼网站“隔绝”,组织可以用这种方法远离网络钓鱼,这是一个很好的方法。
本文翻译自:https://threatpost.com/hackers-deep-sea-phishing/174868/