作为一种古老的网络攻击手段,钓鱼邮件是企业和个人最常遇到的网络威胁之一。与零日漏洞、APT攻击等高危攻击方式相比,钓鱼邮件显得非常“老土”。但是,“老土”并不代表无效。相反,随着网络空间的不断发展壮大,这种“老掉牙”的攻击方式每年都给企业带来难以言喻的巨大损失。2021年Q2Coremail邮件安全报告数据显示,与2021年Q1相比,Q2邮件安全问题依然层出不穷。钓鱼邮件环比增长21.27%,同比甚至翻了一番。另一份报告指出,美国大型企业每年因与网络钓鱼相关的网络犯罪平均损失1480万美元,高于2015年的380万美元,而且美国大型企业的网络钓鱼平均成本在过去六年中飙升了289美元。%,年均亏损近1500万美元。此外,网络钓鱼凭据是勒索软件和商业电子邮件妥协(BEC)的常见起点。该报告称,勒索软件每年给大型企业造成570万美元的损失,而BEC则为600万美元。网络钓鱼的成本超过勒索软件和BEC的总和。网络钓鱼电子邮件的流行是显而易见的。用数字符号规避钓鱼邮件检测面对越来越频繁的钓鱼邮件攻击,许多企业开始部署各种反钓鱼邮件工具和解决方案,而攻击者则想方设法躲避这些反钓鱼邮件的检测。据安全事务部了解,近日某钓鱼邮件组织心血来潮,利用数字符号干扰反钓鱼邮件的检测,取得了不错的效果。邮件保护厂商INKY的安全研究人员详细介绍了这种“新”的钓鱼邮件攻击方式。其核心是利用各种数字代替公司标识或名称中的字母来“恶搞”反钓鱼邮件或反垃圾邮件产品的Target。美国电信巨头威瑞森成为这种新型攻击的第一个目标。2021年11月以来,不少用户收到“修改密码”的钓鱼邮件。不久之后,许多用户的账户被盗,有的甚至信用卡也被盗,损失了数千美元,但威瑞森表示公司系统并未受损。安全人员在对钓鱼邮件攻击进行审查后发现,该钓鱼邮件并没有使用很多新技术,而是对邮件进行了高超的“伪装”。一个红色的平方根字符,或非逻辑运算符或汉字符号中的勾号(√),这些简单的数学符号造成了一种逻辑干扰,甚至骗过反垃圾邮件检测的“眼睛”,所以这些邮件被成功发送给用户。这波操作之所以如此有效,是因为Verizon的标识使用了一个红色的、不对称的“V”,与平方根符号或“勾号”非常相似,如下图所示。(不仔细看是分不清真假的。)因此,很多用户在收到邮件后,根本没有意识到这是一封假邮件。但钓鱼邮件的伪装远不止于此,他们还创建了一个非常相似的假Verizon网页。攻击者在邮件中使用了一个简单的数字字符,用户点击后会被引导至假冒网站。这个虚假的恶意网站与真实网站有多相似?据INKY的安全研究人员称,它们几乎是Verizon官方网站的翻版,使用几乎相同的设计元素。这欺骗了很多用户。他们在登录页面填写Office365账户密码进行登录,这些信息全部落入攻击者手中。有意思的是,用户第一次登录时会显示“登录错误”,需要重新输入账号密码,最后显示的页面是“无法登录”。两次输入意味着两次信息收集,但INKY安全研究人员无法理解这一波行动的真正原因。他们推测,攻击者想要确认账户密码的真实性,或者引导用户输入其他账户密码,以便收集两套登录凭证,并以两种价格出售。INKY安全研究人员进一步发现,钓鱼邮件攻击者直接使用Gmail账户发送钓鱼信息。之所以如此明显,是因为它们可以通过标准电子邮件身份验证(SPF、DKIM和DMARC)。而在等待用户的虚假恶意网站中,存在着最新的零日漏洞,足以给用户造成严重的损失。事实上,这并不是Verizon在2021年第一次遭遇钓鱼邮件攻击。2021年4月,Verizon手机用户遭到钓鱼攻击,用户被骗窃取电话号码、ID、密码等隐私数据。2019年2月和3月,他们还遭受了两次钓鱼邮件攻击。频繁的网络钓鱼攻击不仅给用户带来了一定的损失,也给Verizon的声誉和业务造成了一定的损害。另外值得注意的是,前3次钓鱼邮件攻击还是有些粗糙,而最新的钓鱼邮件则呈现出明显的“定制化”趋势。攻击者使用了更巧妙的手段来逃避公司反钓鱼邮件以及许多粗心用户的检测。如何有效防范钓鱼邮件?众所周知,钓鱼邮件的核心就在于一个“假”字,而只要是假的,就一定有各种蛛丝马迹。我们可以根据这些线索来区分是否是钓鱼邮件,避免落入攻击者之手。进入他们的圈套。以下是安全专家提供的防范钓鱼邮件的建议:(1)警惕来自Gmail或其他免费电子邮件提供商(如Yahoo、AOL或Hotmail)的电子邮件,并仔细检查发件人和电子邮件的真实性。(2)确保在下载附件之前检查所有附件,尤其是未经请求的电子邮件。更好的是,仔细检查发件人的电子邮件地址并留意高风险附件。不要轻易下载附件或点击不熟悉的链接。(3)切勿通过电子邮件提供敏感信息,如果电子邮件要求收件人提供信用卡详细信息、税号、社会保障信息或任何其他敏感信息,则基本上是钓鱼邮件。(4)安装反钓鱼邮件工具。目前很多杀毒软件和浏览器都带有反钓鱼邮件工具,可以帮助我们拦截大部分钓鱼邮件,并且会有相应的提醒。(5)保护重要文件。在许多情况下,网络钓鱼电子邮件只是勒索攻击的开始。及时备份重要邮件,防止勒索攻击锁定文件造成巨大损失。参考来源:https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html
