PaloAltoNetworks研究人员发现,2020年3月网络钓鱼攻击主要集中在个人防护装备(PPE)和测试工具,以及2020年4月至夏季的政府刺激计划(包括冒充FTC窃取用户凭证的虚假USTC网站)和2020年秋末的疫苗(包括虚假的辉瑞和BioNTech网站也窃取了用户凭证)。值得注意的是,研究人员发现,从2020年12月到2021年2月,与疫苗相关的网络钓鱼攻击数量增加了530%,而与药店和医院相关或针对药店和医院的网络钓鱼攻击数量则比同期增加了189%.研究人员的分析表明,微软是最受攻击者攻击的品牌。例如,攻击者设置虚假的Microsoft页面以窃取Walgreens(总部位于美国)、Pharmascience(总部位于加拿大)、GlenmarkPharmaceuticals(总部位于印度)和JunshiBiosciences(总部位于中国)等机构的员工凭证。研究人员预测,随着疫苗的不断推出,与疫苗分发相关的网络钓鱼攻击(包括针对医疗保健和生命科学行业的网络钓鱼攻击)将在全球范围内继续增加。网络钓鱼趋势自2020年1月以来,研究人员观察到69,950个链接到COVID-19相关主题的网络钓鱼URL,其中33,447个直接链接到COVID-19本身。在图1中,研究人员绘制了这些不同主题随时间变化的相对流行度,并进行了标准化处理,使每个主题的峰值流行度达到100%。通过观察每个彩色部分的高度随时间的变化,研究人员可以看到某些受试者仍然是网络钓鱼攻击的稳定目标,而其他受试者在不同时间点经历了更明显的峰值。例如,自大流行开始以来,药品和虚拟网络(例如Zoom)一直是网络钓鱼攻击的相对稳定的目标;另一方面,疫苗的研发也让网络钓鱼攻击达到了一个新的高峰。2020年1月至2021年2月以COVID-19为主题的网络钓鱼攻击趋势为了发现针对知名品牌的以COVID-19为主题的网络钓鱼页面,研究人员确定这些攻击中的大多数都试图窃取用户商业凭证:例如,Microsoft、Webmail、Outlook等。图2中的每个条形代表试图窃取该特定网站的用户登录凭据的网络钓鱼URL的百分比。例如,大约23%的以COVID-19为主题的网络钓鱼URL是假的Microsoft登录页面。随着大流行迫使许多员工远程工作,这些与业务相关的网络钓鱼尝试已成为网络犯罪分子越来越重要的攻击媒介。与COVID-19相关的URL中的主要网络钓鱼目标(全球),每个水平条代表试图窃取该特定网站的用户登录凭据的网络钓鱼URL的百分比。请注意,在此图中,研究人员仅包含针对知名品牌的URL。此外,研究人员注意到,通过这些以COVID-19为主题的网络钓鱼攻击,攻击者不断创建新网站来托管他们的网络钓鱼活动。在图3中,显示了我们发现托管COVID-19相关网络钓鱼页面的每个网站的生存时间,我们可以看到许多与COVID-19相关的网络钓鱼页面托管在新创建的网站上,这表明攻击者故意在预期的攻击发生前几天设置这些站点,使攻击者有机会根据最新的大流行趋势制作与攻击相关的消息以及网站URL。2020年1月至3月:初始激增、测试套件和PPE2020年1月至2月期间,随着COVID-19大流行开始在全球蔓延,网络犯罪分子已经开始试图利用即将到来的大流行病从中受益。在此期间,研究人员发现与COVID-19直接相关的网络钓鱼攻击增加了313%。在图4中,研究人员看到了一个以COVID-19为主题的网络钓鱼攻击的示例。伪造的谷歌表单首先会要求用户输入电子邮件用户名和密码,在随后的页面上,表单会询问一系列听起来合理的与健康相关的问题,提交前的最后一个问题要求员工通过输入他们的全称就是所谓的“数字签名”。https://docs[.]google[.]com/forms/d/e/1FAIpQLSdiQL-IcnGqRIKzTVmpeQSBVRrD06c4NolWvgWcdRH-NgBx-A/viewform?vc=0&c=0&w=1&flr=0(与COVID-19筛查相关的凭证盗窃表格)2020年2月至3月,对新冠疫情蔓延至美国的担忧迅速增加。为了响应人们保护自己和家人的愿望,对测试套件、洗手液和N95口罩等个人防护设备,甚至卫生纸等必需品的兴趣开始飙升。在线对“COVID-19检测试剂盒”的兴趣以及与COVID-19检测相关的网络钓鱼的流行这些趋势也可以在研究人员的历史网络钓鱼数据中观察到。与个人防护设备相关的网络钓鱼攻击增加了136%,其中许多以在线购物诈骗的形式出现(见图6)。3月,就在《纽约时报》报告全美COVID-19检测试剂盒严重短缺时,研究人员发现与检测试剂盒相关的网络钓鱼攻击增加了750%。https://atemmaske-kn95-de[.]com除了这些欺诈网站,研究人员还观察到看似合法的测试工具供应商,其网站因凭据盗窃而遭到入侵。在图8中,研究人员看到了一个虚假的MicrosoftSharepoint登录页面,用户将通过网络钓鱼电子邮件中的链接进入该页面。网络钓鱼页面将要求用户提供他们的电子邮件和Microsoft密码,以查看与他们“共享”的时间敏感发票。covid-testkit[.]co[.]ukcovid-testkit[.]co[.]uk/wp-includes/images/i/Newfilesviewc7c782c3b7c54f958e7eb2efff3a49b28866b4fc22dd46cfbad9e6ac9d0cd18cca873584897b48c88d82ecf5cd62783dServices2020年4月至7月:政府刺激和救济计划2020年4月,美国国税该局开始向个人分发1,200美元的刺激计划。大约在同一时间,薪资保护计划(PPP)生效,这也导致网络钓鱼攻击迅速激增。随后,研究人员注意到2020年4月与政府救济计划相关的网络钓鱼攻击增加了600%。如下两张图片所示,研究人员展示了一个伪装成“美国贸易委员会”的假冒部门的钓鱼页面示例。该网站承诺为每个人提供高达5,800美元的“临时救济金”。页面右侧显示虚假统计数据,让用户产生数十亿美元未分配的错觉。ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/(伪造的“美国贸易委员会”网站)点击“开始验证流程”按钮后,用户将被重定向到一个表格,要求提供社会安全号码(SSN))和驾照号码。ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/verification.php(CertificateStealingFormRelatedtoCOVID-19GovernmentAid)与合法刺激和救济方案后的经济救济相关的网络钓鱼攻击在接下来的几年中仍然相对流行个月(见图9),因为许多人仍然需要经济支持。在图12中,研究人员看到另一个凭证窃取页面,该页面要求用户输入个人和企业信息、驾照照片和银行帐户详细信息。研究人员在图13中看到了一个类似的示例,该示例承诺在输入用户的银行帐户信息后向用户发送3,000印度卢比。covid-19-benefit[.]cabanova[.]com(与所谓的COVID-19救济赠品相关的凭证窃取页面)fund4-covid19[.]com(凭证窃取网站,要求用户在为了获得临时资金)2020年11月至2021年2月:疫苗的批准和推出随着疫苗的开发,攻击者试图利用这一趋势也就不足为奇了。从2020年12月到2021年2月,研究人员发现与疫苗相关的网络钓鱼攻击增加了530%(见图14)。接下来,可以看到一个假冒网站的示例,该网站声称代表辉瑞和BioNTech(mRNA疫苗的制造商)。网络钓鱼页面要求用户使用其Office365凭据登录以注册疫苗。另请注意,此网络钓鱼站点使用一种越来越普遍的技术,称为“客户端伪装”。该站点并没有立即显示表单来窃取凭据,而是首先要求用户单击“登录”按钮以逃避基于爬虫的自动网络钓鱼检测器。pfizer-vaccine[.]onlinepfizer-vaccine[.]online(用户点击“登录”按钮后显示的凭据窃取表单)从2020年12月到2021年2月,研究人员发现与药店和医院相关的攻击有所增加189%。https://iwalgreens[.]beardspoles[.]ccafmaderahospital[.]org[.]anjritlah[.]com鉴于COVID-19大流行的全球性,这些针对制药和医疗保健公司的网络钓鱼活动似乎并不仅限于此到美国,这似乎在全球都很普遍。在下图中,研究人员看到针对魁北克最大的制药公司Pharmscience的网络钓鱼攻击。在图20中,研究人员看到针对总部位于孟买的全球药品制造商GlenmarkPharmaceuticals的网络钓鱼攻击。在图21中,研究人员看到针对上海医药研发公司JunshiBiosciences的网络钓鱼攻击。在图21的案例中,攻击者设置了一个伪造的登录页面,冒充顺丰速运,一家中国跨国快递和物流公司。afpharmascience[.]com[.]oceantrimtex.com(这是针对魁北克最大制药公司Pharmscience员工的网络钓鱼活动的一部分)droidfreedom[.]com/wp-includes/SimplePie/filamora/negwtod/REDACTED@glenmarkpharma.com(针对总部位于孟买的全球制药商GlenmarkPharma的网络钓鱼活动的一部分)Junshippharma-9107214068[.]parnian-distribution[.]com(针对位于上海的医药研发公司JunshiBiosciences的员工,作为网络钓鱼活动的一部分))在某些情况下,研究人员还观察到合法制药公司的网站遭到入侵并被用于网络钓鱼目的。在图22中,研究人员可以看到一家帮助连接生命科学行业企业的公司网站pharmalicensing.com已被入侵并被用来托管钓鱼页面以窃取用户的商业凭证。这种类型的攻击可能特别危险,因为原始网站的合法性可能会诱使用户认为网络钓鱼页面也是合法的。pharmalicensing.com/stone/excelzz/bizmail.php(Pharmalicensing的一个被入侵的网站,用于凭据盗窃)缓解措施针对个人:1.单击可疑电子邮件中包含的链接或附件时要小心,尤其是那些与个人相关的链接或附件帐户设置或个人信息,或试图传达紧迫感。2.验证收件箱中任何可疑电子邮件的发件人地址。3.在输入登录凭据之前仔细检查每个网站的URL和安全证书。4.报告可疑的网络钓鱼企图。对于企业:1.实施安全意识培训,提高员工识别欺诈邮件的能力。2.定期备份您组织的数据,以抵御通过网络钓鱼电子邮件进行的勒索软件攻击。3.对所有与业务相关的登录进行强制性多因素身份验证以增加安全性。本文翻译自:https://unit42.paloaltonetworks.com/covid-19-themed-phishing-attacks/如有转载请注明出处。
