文章转载自微信公众号《数字咨询》(dwconcn)。偷偷摸摸是没有限制的。警惕可以逃避正常验证方法的偷偷摸摸的网络钓鱼电子邮件。去年,网络犯罪分子以各种创新方式滥用电子邮件进行网络攻击,而且“结果是巨大的”。用户收件箱中充斥着因担心病毒而被引诱点击网络钓鱼链接的电子邮件。各种账号被盗,公司对供应商的信任被攻击者残酷利用。常规验证检查失败,可疑电子邮件潜入。攻击者将域名视为一次性物品:在短暂使用后将其丢弃,安全工具没有机会和时间将其标记为恶意站点并对其进行攻击。没错,新冠肺炎疫情肆虐的2020年,也是邮件攻击狂潮的一年。但这些攻击中哪一个最突出?Darktrace电子邮件安全产品总监DanFein描述了他认为是2020年最“成功”的电子邮件攻击,所有这些攻击都是由该公司的AI电子邮件工具Antigena检测到的。以下是哪些攻击获得了这一荣誉:1.躲在雪地里对于希望逃避隔离的滑雪者来说,提供韦尔度假村门票的电子邮件简直无法抗拒。然而,被诱惑的结果是成为凭证盗窃攻击的受害者。电子邮件中的网络钓鱼链接似乎指向VailResorts,Inc.,然后该公司重定向到其合法的预订服务和合作伙伴公司Snow.com。然而,这些只是表象。图:末尾隐藏可疑参数的链接请注意URL末尾的“p1”参数。攻击者实际上会将受害者带到s-ay.xyz上的虚假登录页面。而且,为了看起来像,假登录页面甚至在“用户名”字段中预先填充了受害者的电子邮件地址。由于URL太长,即使熟悉安全的用户在点击之前悬停以检查超链接的目标地址,也很可能只会看到截断的URL,而没有机会看到末尾的可疑参数。“很多安全产品都检测不到这一点,因为vailresorts.com的声誉很好,”Fein说。“我认为这很有趣,因为如果你以某种方式查看这个链接,你可以找到这些东西。你意识到这个链接是不寻常的,因为重定向隐藏在里面。2.潜入SPFFein说:“每次像SPF(发件人策略框架)或DKIM(域密钥识别邮件)这样的验证检查表明电子邮件来自预期的基础设施时,我们的客户都会觉得‘糟糕,SPF通过了,DKIM通过了,这封电子邮件不是良性的吗?”但在我们看来,它确实不是。你必须保持警惕。举个例子:一封据称来自目标公司IT部门的电子邮件,链接到MicrosoftOffice表单。Office365登录页面还预加载了用户的电子邮件地址。电子邮件通过了SPF和DKIM验证检查。但是,Darktrace检测到,这封电子邮件很可能是从被黑帐户发送的。(不仅仅是因为文本email包含一个奇怪的语法短语,如“点击密码”。)Fein列举了几个可能不寻常的上下文示例,他说:“Antigena会检查上下文。例如,通常来自Outlook的电子邮件突然被Python脚本取代。或者只是看看在你邮件服务代理:一切看起来都是自动化的。否则就看基础设施了:虽然是outlook的,却是来自一个意想不到的国家。3.倒胃口的链接还有一封电子邮件声称来自IT支持服务,但根本没有帮助。攻击者在发件人姓名中嵌入了一些非拉丁字母。(现在有些攻击者使用隐藏文本,即在电子邮件字母之间加入不可见字符,以防止诸如“helpdesk”(技术支持)或“passwordexpired”(密码过期)之类的词触发电子邮件防御机制。)无害,执着相对无害。但是附件中的超链接是有问题的。此类链接可能声称指向在线餐厅预订服务,但实际上指向恶意网站。Fein表示,Darktrace可以根据风险的严重程度进行一系列的瞄准。性操纵:重定向可疑链接、完全删除可疑链接、过滤电子邮件中的附件或阻止整个电子邮件。”仅仅因为附件中有可疑内容并不意味着您应该阻止整个附件,但在这种情况下,它应该4.伪造的电子邮件网关Fein挑出的另一种电子邮件攻击与他密切相关,因为攻击者冒充了一家电子邮件安全公司,该电子邮件来自一个虚假的CiscoIronport地址,并声称包含一个存档文件。发件人和收件人之间没有事先联系,这让人怀疑,更何况还有另一个异常敲响了警钟:DarktraceAI检测引擎将收件人集合本身标记为高度异常。正如Fein解释的那样,一些用户组比其他用户组更有可能一起出现在同一个电子邮件线程中;一些用户组希望收到来自未知发件人的外部邮件,而其他用户组通常不会。邮件。因此,如果同时向HR、开发团队和其他不相关的业务部门发送电子邮件,Darktrace的检测技术会发现异常。今年让Fein感到惊讶和受骗的电子邮件攻击是使用狡猾的技术来欺骗目标收件人及其安全工具来信任他们的电子邮件攻击。“他们会使用你知道的公司名称,或者使用你知道的基础设施。或者,您收到一封来自熟人的电子邮件,感觉您正在登录以回复他们。但这只是为了让你认为你得到了答案。我们接下来要做的是有意义的,只是为了增加可信度。”
