GreatHorn研究人员报告称,他们观察到通过构造“畸形URL前缀”来逃避安全软件保护发送钓鱼邮件的犯罪分子增加了近6000%。除非您仔细查看URL前缀中使用的符号,否则它们看起来非常合法。在一篇关于他们发现的博客文章中,研究人员说:“这些URL格式不正确,没有使用正常的URL协议,例如http://或https://,而是使用http:/\”。/在报告中解释说,URL地址中的斜杠在很大程度上是多余的,因此浏览器和许多扫描器甚至会忽略它们。Typosquatting是一种常见的网络钓鱼电子邮件策略,其中将常见的企业名称拼写错误,例如“amozon.com”。试图诱使粗心的用户点击链接。研究人员解释说,现在大多数人都知道如何欺骗此类电子邮件,因此网络罪犯不得不开发新的攻击方式。电子邮件保护工具忽略URL前缀中的反斜杠“这些URL不符合普通电子邮件扫描程序包含的‘已知恶意链接’配置文件,程序会忽略它们,”研究人员说。它还可能逃避用户对链接的检查,因为并不是每个人都会在URL前缀中寻找可疑线索。”研究人员报告说,他们在去年10月首次注意到这种新的攻击策略,并表示,从那时起,这种攻击策略发展非常迅速。他们说1月和2月初之间的攻击激增了6,000%。格式错误的前缀URL攻击是什么样的?GreatHorn提供了一个格式错误的URL网络钓鱼电子邮件示例,地址为“http:/\brent.johnson.australiasnationalskincheckday.org。au//exr/brent.johnson@impacteddomain.com”。“网络钓鱼电子邮件似乎是由语音邮件服务发送的,”研究人员解释说。该团队报告说,该电子邮件包含一条音频消息,播放了奥迪Date.wav文件,并将链接重定向到恶意网站。“该网站甚至包括reCAPTCHA验证功能,这是合法网站上常见的安全功能,这也显示了这种攻击的复杂性和微妙性,”他们解释说。据报道,该恶意网站页面看起来像一个Office登录页面,该页面要求输入用户名和密码。一旦进入,攻击者就可以控制受害者的帐户凭据。报告补充说,Office365用户更有可能“以比使用GoogleWorkspace作为其云电子邮件环境的组织高得多的速度”遭受此类攻击。报告解释说,使用这些恶意URL的攻击者采用了多种策略来传播他们的恶意软件,包括使用假名冒充用户公司内的电子邮件系统;避免安全扫描的电子邮件;钓鱼邮件嵌入了一个重定向打开新网页的链接,并使用一些句子来描述用户,以营造一种“紧迫感”。该报告还建议“安全团队尽快在其组织的电子邮件中搜索与模式(http:/\)匹配的URL,并删除所有匹配的邮件”,以防止其系统受到攻击。GreatHorn的首席执行官兼联合创始人KevinO'Brien告诉Threatpost,这些恶意URL攻击可以通过使用可以执行详细分析的第三方解决方案来解决。“在过去的五年里,各种API原生解决方案进入了市场,其中许多是专门针对传统安全电子邮件网关和平台无法分析或识别的威胁而设计的,”O'Brien说。该解决方案提供了强大的安全性,并在用户即将进入一些危险的网络环境时向用户发出警报,例如我们在此次攻击中所见。“电子邮件网络钓鱼诈骗很常见。该报告是在网络钓鱼诈骗猖獗的时候发布的尤其猖獗。Proofpoint最近发布的2020StateofPhishing显示,美国的网络钓鱼攻击在过去一年中猛增了14%。Proofpoint高级副总裁兼安全意识培训总经理AlanLeFort表示:“Cyber世界各地的攻击者都在使用方便、复杂的通信方法进行攻击,其中最明显的是通过电子邮件渠道,这仍然是一个非常先进的攻击媒介。如何确保用户能够发现并报告那些未遂的网络攻击是安全业务的关键,尤其是当用户远程工作时,通常是在不太安全的网络环境中。虽然许多组织表示他们正在对员工进行安全意识培训,但我们的数据表明,大多数组织可能做得还不够。》本文翻译自:https://threatpost.com/malformed-url-prefix-phishing-attacks-spike-6000/164132/如有转载请注明原文地址。
