火研在2019年第二季度进行了一次邮件安全调查,以下是调查中人们最关心的问题:假冒攻击、BEC(企业邮件泄露)。用户电子邮件帐户遭到入侵,被盗帐户被用于还款。来自受信任的第三方的网络钓鱼电子邮件。用户不确定电子邮件是否为网络钓鱼。用户在移动设备上发现网络钓鱼电子邮件的能力。上一篇文章对前两个问题进行了分析和讨论,并给出了一些建议。下面就剩下的三个问题进行讨论,并提出解决问题的建议。有针对性的网络钓鱼攻击只要电子邮件一直是安全专业人员和企业公司最关心的问题,虽然一些网络钓鱼活动相当复杂,例如APT29漏洞,但其他的则非常简单,并且仍然具有很高的成功率。2019年第一季度电子邮件威胁报告发现,与2018年第四季度相比,网络钓鱼增加了17%。因此,企业所担心的三个问题与网络钓鱼有关。如图1所示,自2017年以来,我们观察到恶意电子邮件(例如,带有指向钓鱼网站的URL的电子邮件)数量有所增加,而带有恶意软件附件的电子邮件数量有所减少。这种趋势一直持续到今天。图1如图2所示,网络钓鱼攻击的范围很广。在水平轴的左端,攻击者使用无针对性的高容量网络钓鱼攻击。他们想要一种广泛的网络钓鱼方法来破坏他们的目标并获得经济回报。在右侧的横轴上,攻击者使用社会工程学来识别和分析受害者。他们利用现成的在线信息(例如LinkedIn个人资料和Facebook帐户)来针对他们的目标定制网络钓鱼电子邮件(图3)。图2图3攻击者利用从互联网上收集到的信息,对会计等相关部门的员工进行身份识别,然后为目标定制邮件内容。攻击者向目标群体组织中的特定角色、管理员等特定目标发送个性化邮件,而会计或信息技术部门的特定目标通常具有较高的权限。虽然收集受害者信息需要大量的前期投资,但更具针对性的网络钓鱼方法通常具有更高的成功率。受信任的第三方网络钓鱼电子邮件MicrosoftOffice365等基于云的应用程序的流行使得关联的登录页面成为凭据网络钓鱼的目标,并且每个Microsoft应用程序(包括Outlook和OneDrive)都有不同的登录页面,Microsoft是顶级网络钓鱼程序被攻击者使用(图4)。这些欺骗性(网络钓鱼)页面如此令人信服的原因之一是包含网络钓鱼页面URL的电子邮件看起来是合法的,并且是从受信任的程序供应商发送的。图4用户不确定电子邮件是否为网络钓鱼技术。通过在虚假电子邮件中包含一个网络钓鱼链接,攻击者可以将经过混淆处理的电子邮件发送到多个目标并仍然从中获益。攻击者伪造一个友好的显示名称,使其看起来像是来自熟人(图5)。例如,受信任的支付公司的电子邮件地址。很多时候,用户没有注意到badactor@opteary.com的真实电子邮件地址,认为这是另一个合法收件人。用户有时会觉得邮件与平时收到的邮件不一样,但又无法准确定位问题所在,导致用户无法确定邮件是合法邮件还是钓鱼邮件。图5针对移动设备的网络钓鱼邮件虽然在移动设备上阅读电子邮件已成为查看电子邮件的主要方式,超过了网络邮件和桌面客户端。如图5和图6所示,合法的电子邮件地址是badactor@opentary.com,友好的显示名称joe.smith@companypayment.com让人乍一看以为电子邮件来自companypayments.com。电子邮件显示名称是用户定义的标签,可提供发件人的可识别描述。MobileOutlook客户端默认只显示友好的显示名称,恰好是joe.smith@companypayments.com,而不是joesmith。Figure6&Figure7如图7所示,在手机邮件客户端浏览时,邮件预览让显示名称更有说服力,实际上邮件来自badaactor@pentary.com。冒名顶替者使用的真实电子邮件地址在许多移动电子邮件客户端中不容易查看,因为为方便起见,它们默认使用友好的显示名称(图8)。虽然非常方便,但移动设备有一个缺点:较小的显示屏使得区分合法网页和网络钓鱼网页变得更加困难。例如,网络钓鱼页面可能带有受信任的品牌徽标,但在小屏幕上很难注意到设计上的细微变化。图8图9同样,在移动端也很难发现一个URL包含一个额外的字母或类似的数字来代替正确的字母(同形异义)。移动用户无法将鼠标悬停在URL上,这使得许多用户难以区分合法网站和克隆网站。如图9所示,攻击者使用Office365等克隆云服务的登录页面窃取企业凭据。当网络钓鱼攻击包裹在移动端虚假电子邮件中时,攻击者可以轻松操纵一个友好的显示名称(如图5和6中的JoeSmith)来冒充公司高管。由于友好的显示名称通常是默认情况下在移动设备上显示的有关发件人的唯一信息,因此如果用户不小心,很可能会被欺骗。图5显示了从桌面客户端查看电子邮件时的假电子邮件地址。当我们认为我们正在与值得信赖的人(例如我们的老板、公司高管、朋友或家人)交流时,我们更有可能点击电子邮件中的URL或附件。建议将技术与用户教育相结合,作为抵御有针对性的网络钓鱼攻击的最佳防御措施。电子邮件安全解决方案减少了下载恶意软件或点击恶意URL的人为因素。但是,如果可疑电子邮件潜入用户的收件箱,训练有素的工作人员可以充当第二道防线。为了更好地为您的防御做好准备,请选择具有以下特点的电子邮件安全解决方案:投资于恶意软件研究快速迭代保护以检测最新的模拟技术和网络钓鱼攻击基于从拦截对防御设备的攻击中获得的实时知识可检测性其次,需要时间来培训用户如何发现网络钓鱼电子邮件,以确保他们与正确的人而不是攻击者进行通信。
