数学符号绕过反钓鱼检测
作为一种古老的网络攻击手段,钓鱼邮件是企业和个人最常遇见的网络威胁之一。和零日漏洞、APT攻击等高危险的攻击方法相比,钓鱼邮件就显得非常“老套”。
但是,“老套”并不意味着无效。相反,随着网络空间的不断发展、壮大,这种“老套的”攻击手段给每年都给企业带来了难以言表的巨额损失。
2021年Q2 Coremail邮件安全报告的数据显示,和2021年Q1相比,Q2邮件安全问题依旧层出不穷,钓鱼邮件季环比增长21.27%,同比增长甚至呈现翻倍上升趋势。
另一份报告指出,美国大型企业平均每年因与网络钓鱼相关的网络犯罪而损失1480万美元,远高于2015年的380万美元,过去六年来,美国大型企业的网络钓鱼平均成本飙升了289%,年均损失近1500万美元。
同时,网络钓鱼凭据也是勒索软件和商业电子邮件入侵 (BEC) 的常见起点。该报告称,勒索软件每年给大型企业造成570万美元的损失,而BEC则为600万美元。网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多。
钓鱼邮件之猖獗可见一斑。
用数字符号规避钓鱼检测
面对日益频发的钓鱼邮件攻击,不少企业开始部署各种反钓鱼邮件的工具和解决方案,而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。
据Security affairs消息,近日某钓鱼邮件组织突发奇想,使用数字符号来干扰反钓鱼邮件检测,竟然还取得了不俗的效果。
电子邮件防护产商INKY的安全研究人员详细地介绍了这种“新型”的钓鱼邮件攻击,它的核心是利用各种数字符号替换公司logo或名字中的字母,达到“欺骗”反钓鱼邮件或反垃圾邮件产品的目标。
美国电信巨头Verizon成了这种新型攻击的首个目标,自2021年11日开始,不少用户收到了“修改密码”的钓鱼邮件。不久之后,不少用户的账号被盗,有的甚至还被盗刷了信用卡,丢失了数千美金,但Verizon表示公司系统并为遭到破坏。
安全人员对此次钓鱼邮件攻击事件复盘之后发现,钓鱼邮件并未使用多少新的技术,而是对邮件进行了高超的“伪装”。
一个红色的平方根字符,NOR逻辑操作符或者说是汉字符号中的勾(√),这些简单的数学符号创造了一种逻辑干扰,竟然就这么骗过了反垃圾邮件检测的“眼睛”,于是这些邮件成功发给了用户。
之所以这波操作如此有效,是因为Verizon公司的logo使用的就是一个红色、不对称的“V”,这和平方根符号或者说“勾”相似度非常高,如下图所示。
(不仔细看根本分辨不出来有木有)
因此,很多用户收到了邮件后,完全没有发现这是一封假的邮件。
但该钓鱼邮件的伪装还远不止这些,他们还创建了一个相似度非常高的假Verizon公司的网页。攻击者们在邮件中使用了一个简单的数字字符,用户只要点击之后就会定向链接到这个假网站。
这个假的恶意网站和真网站有多相似呢?根据INKY的安全研究人员的说法,他们几乎是完全克隆了Verizon公司的官网,使用了几乎相同的设计元素。
这就骗过了很多的用户,他们在登录页面填写了自己的Office 365的账号密码进行登录,而这些信息全部都落入到攻击者的手中。
有趣的是,用户在第一次登录的时候会显示“登录错误”,并要求再次输入账号密码,最终显示的页面是“无法登录”。
两次输入就意味着两次信息收集,但INKY安全研究人员也无法理解这波操作的真正原因。他们猜测攻击者是想确认账号密码的真实性,或者是引导用户输入其他的账号密码,这样他们可以收集两套登录凭证,卖两份价钱。
INKY安全研究人员进一步研究发现,钓鱼邮件攻击者是直接使用Gmail账户发送钓鱼信息。之所以如此明目张胆,是因为它们可以通过标准的电子邮件身份验证(SPF、DKIM和DMARC)。而那个等待用户的假的恶意网站中,存在着最新的零日漏洞,足以给用户造成严重损失。
事实上,这已经不是Verizon公司2021年度第一次遭遇钓鱼邮件攻击。
2021年4月,Verizon公司移动端用户遭钓鱼攻击,并欺骗用户窃取电话号码、ID、密码等私人数据信息,并且在2019年2和3月也遭受了两次钓鱼邮件攻击。
频繁出现的钓鱼攻击不仅给用户带来了一定的损失,也给Verizon公司声誉和业务造成了一定的损伤。
另外值得注意的是,前三次钓鱼邮件攻击还略显粗糙,最近一次的钓鱼邮件则出现明显的“定制化”趋势。攻击者用更加巧妙的手段,瞒过了企业反钓鱼邮件的检测,也瞒过了很多粗心的用户。
如何有效预防钓鱼邮件?
众所周知,钓鱼邮件的核心就在于一个“伪”字,而只要是假冒的就一定会存在各种蛛丝马迹,我们可以通过这些蛛丝马迹来分别是不是钓鱼邮件,避免掉入攻击者们的陷进之中。
以下是安全专家们提供的预防钓鱼邮件的建议:
1、对于来自Gmail或其他免费电子邮件提供商(如雅虎、AOL或Hotmail)保持警惕,仔细核对发件人和邮件的真实性。
2、确保在下载任何附件之前进行检查,尤其是未经请求的电子邮件。更好的做法是,仔细检查发件人的电子邮件地址并留意高风险附件文件。不轻易下载附件,也不轻易点击陌生链接。
3、切勿通过电子邮件提供敏感信息,如果一封电子邮件要求收件人提供信用卡详细信息、税号、社会保障信息或任何其他敏感详细信息,那基本是钓鱼邮件。
4、安装反钓鱼邮件工具,目前很多杀毒软件和浏览器都包含了反钓鱼邮件工具,这可以帮我们拦截大多数钓鱼邮件,并且会有相应的提醒。
5、重要文件做好防护,很多时候钓鱼邮件只是勒索攻击的开端,及时对重要邮件备份,防止勒索攻击锁住文件造成巨额损失。
