基于URL的钓鱼邮件在发送成功率上完胜附件的钓鱼邮件

VSole2023-03-20 11:20:44

几十年来,传统钓鱼邮件的头几步一直没有发生变化:邮件含有恶意URL或附件。然而近年来,URL嵌入在网络钓鱼邮件中作为吸引目标受害者的初始手段,其到达目标受害者的速度远高于同样目的的附件。我们去年的数据显示,URL在2022年相比附件继续占主导地位,这有几个原因:可滥用的可信域名、互联网上提供网络钓鱼基础设施的免费服务以及重定向的规避效果。

与CredPhish相关的基于URL的网络钓鱼占有很高的比例

URL继续占主导地位的这种趋势出现在到达企业组织的钓鱼邮件中,许多企业组织都受到知名的安全电子邮件网关(SEG)的保护。

图1. 2021年和2022年,到达收件箱的基于URL的钓鱼邮件和基于附件的钓鱼邮件各自的份额。

基于URL的钓鱼邮件比基于附件的邮件更容易逃脱SEG的检测,这可能有诸多原因。如果可信域名被滥用,URL可能具有固有的信任级别。SEG在识别恶意文件方面可能比识别URL来得更好。相当高比例的良性营销邮件含有来自来历不明的URL,因此很难与来自未知来源的恶意URL区分开来。除了SEG外,威胁分子有更充分的理由使用URL,因为在当今的工作环境中,用户可能更习惯点击未知链接,而不是点击未知附件。图1中的两张图表显示,在2021年至2022年,基于URL的钓鱼邮件所占的份额没有显著变化,但继续比使用附件高出四倍。使用附件所占的份额增加了大约3%。

传统的钓鱼邮件通常以窃取凭据或投递恶意软件为目标。附加的文件和嵌入的URL都可以用于实现这些目标中的任何一个。图2显示,尽管投递恶意软件的电子邮件比凭据网络钓鱼邮件更多地使用附件作为引诱受害者的方法,但两者都主要由嵌入式URL发起。

图2. 比较2022年用于凭据网络钓鱼和恶意软件投递的恶意链接和恶意附件。

一般来说,我们预计会看到更高比例的URL出现在凭据网络钓鱼中。这主要是由于大多数凭据网络钓鱼的变体已经要求使用URL。网络钓鱼即服务及其他预构建的网络钓鱼工具常常倾向于使用URL。然而使用附件仍然很常见,HTML和PDF等文件类型是凭据网络钓鱼邮件附件中最常见的类型。

如前所述,使用附件投递恶意软件比我们在凭据网络钓鱼活动中看到的更突出。这可能是由于大多数恶意软件投递已经要求使用文件作为最终载荷,这意味着威胁分子已经有点熟悉文件的使用。下面这种情况也很常见:威胁分子企图投递恶意软件,将恶意文件包含在受密码保护的ZIP压缩包中,以阻挠SEG分析。这增加了我们看到到达最终用户的钓鱼邮件的数量。此外,QakBot和Emotet等一些更高级的大肆传播的恶意软件家族已知在邮件中使用附件,但它们也的确使用嵌入式URL。

钓鱼URL及其规避策略

钓鱼URL是目前最流行的吸引受害者的方法,用在到达收件箱的钓鱼邮件中。威胁分子采用的钓鱼策略以绕过电子邮件安全基础设施而出名,助长了这种情形。到达最终用户的钓鱼URL常常在嵌入式URL中使用以下策略之一(不过也存在其他策略):

• 可信域名——云服务等可信服务常常被威胁分子滥用以托管恶意内容。这意味着他们的钓鱼网站将托管在被最终用户和SEG等安全基础设施视为可信的域名上。滥用这些服务的钓鱼邮件常常能成功地到达预定目标,因为这些域名无法被完全屏蔽。

• 公开可用的服务——威胁分子经常寻求免费或廉价的服务,以便在网络钓鱼活动中滥用这些服务。这常常甚至会导致他们的URL也有可信域名。任何免费或廉价的托管平台都面临被威胁分子滥用的风险。

• 多次重定向——这是一种常见的策略,嵌入在钓鱼邮件中的URL不是钓鱼攻击的第一阶段。通过使用多次重定向并创建有待分析的恶意URL链,威胁分子常常可以从初始URL重定向到最终页面,最终页面被直接用于下载恶意软件或窃取凭据,而SEG来不及分析。

图3. 使用恶意链接的钓鱼邮件示例。

恶意附件经配置后以到达收件箱

为了有效地利用网络钓鱼邮件中的恶意附件,可以采用许多潜在的策略。恶意附件有各种用途,包括直接获取凭据、加入已压缩的其他恶意文件、重定向到钓鱼URL、充当恶意软件的第一阶段下载器,以及其他许多用途。此外,所使用的附件类型通常取决于所投递的威胁。我们在含有恶意附件的网络钓鱼邮件中看到的一些最常见的策略如下:

• 受密码保护的文件——威胁分子通常使用受密码保护的文件(比如ZIP压缩包)来绕过安全机制,到达预定目标。Emotet因使用这种策略而臭名昭著,经常传播大量带有恶意Office文件的邮件,这些文件被压缩到受密码保护的ZIP压缩包中。密码常常放在预定目标容易找到的地方,比如邮件正文。

• 不熟悉的附件——威胁分子经常寻找安全研究人员可能不知道、有机会绕过SEG的的新型附件。由于这种威胁简单、明显,大多数SEG会轻松捕获和阻止直接附加的恶意可执行文件。然而威胁分子已意识到了这一点,最近我们看到QakBot威胁团伙发送直接附加的.ONE文件,这似乎有效地逃避了SEG的检查。

• 编码过的文件——文件编码是一种使恶意附件难以分析的常见方法。HTML文件是威胁分子进行编码的一种非常流行的文件类型,但编码是众多文件类型中很常见的一种策略。

网络钓鱼钓鱼
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络钓鱼19式
2022-11-27 07:33:13
随着技术的进步,黑客和网络犯罪分子将不断开发新的网络钓鱼技术来窃取敏感数据。更专业的攻击者甚至会从合法公司复制完全相同的电子邮件格式,并包含恶意链接、文档或图像文件,以欺骗用户“确认”其个人信息或自动下载恶意代码。建议通过适当的渠道与该帐户的个人核实沟通。在过去,浏览器可以检测到没有启用HTTPS的网站,这是防止网络犯罪的第一道防线。
职场安全防护指南,建议收藏!
网络钓鱼是大家所熟悉的一种网络攻击,这种攻击也被认为是一种社会工程攻击,主要是黑客通过将自己伪装起来,进行欺骗和收集受害者的个人敏感信息。这种类型的攻击一般而言,是通过短信或者是电子邮件进行网络钓鱼,电子邮件钓鱼攻击,是比较有效的网络之一,很多的网络攻击都是源自于电子邮件的钓鱼攻击。
与去年同期相比,第一季度利用 Microsoft 品牌进行的网络钓鱼攻击实例增加了 266%。
网络钓鱼攻击是最常见、最容易让受害者中招的网络犯罪之一,随着网络技术的不断发展,攻击者的伪装手段也变得愈发狡诈,攻击频次也再增高,各种新奇的攻击方式层出不穷。有些攻击者可通过网络钓鱼窃取企业内部的关键信息,对企业组织的业务安全、信息安全防护带来了巨大的风险,如何识别攻击者的各种诈骗花招,保护企业和员工的关键信息安全已经成为大多数企业的重要任务。
银行作为金融服务提供者,对频发的网络钓鱼诈骗事件,应该逐步从被动响应向主动防范转变,切实保障金融消费者的资金交易安全。
再加上新的远程员工、视频会议和企业消息,现在网络钓鱼网络钓鱼无处不在。单靠技术无法阻止这些攻击。我们在《企业安全周刊》上采访了Rapid7的安全顾问Whitney Maxwell,为我们提供了一些有关如何保护远程工作者免受网络钓鱼网络钓鱼攻击的建议。有关更多信息,请访问Rapid7的网络钓鱼意识培训教给他们网络钓鱼预防/验证技巧。网上诱骗技巧非常标准,包括寻找可疑文件附件和恶意网站URL,促进良好的凭据行为以及为系统修补最新漏洞。
攻击者通过攻击DNS服务器,将流量重定向到钓鱼网站。SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。综上可知,在应对网络钓鱼攻击方面,为网站、电子邮件系统部署SSL证书实现HTTPS加密是较为有效的解决方案。
据卡巴斯基的最新研究报告显示,星际文件系统(IPFS)的欺诈性使用现象最近似乎有所增加。自2022年以来,IPFS一直被网络犯罪分子用于发动电子邮件网络钓鱼攻击。
VSole
网络安全专家