如今,我们的电子邮件中正潜伏着各种网络钓鱼骗局。即便是你现在没有发现,那么也许明天或者是后天……总之总有一天会发现。关键问题是,在面对网络钓鱼骗局时,你会中招吗?
有研究人员发表的报告声明:电子邮件中的网络钓鱼骗局已经变得越来越难以阻止,攻击者正在创新和完善他们的诱饵,使网络钓鱼更逼真从而对用户更具吸引力和说服力。Webroot公司首席信息安全官Gary Hayslip表示:虽然用户越来越警惕各种钓鱼诈骗的攻击,各种防网络钓鱼软件也不少,但还是不能阻挡各种各样的钓鱼诈骗攻击。正所谓“道高一尺魔高一丈”,网络钓鱼攻击依旧通过各种方式,来骗取个人用户和企业的信息。
Hayslip表示:
“我觉得电子邮件中的网络钓鱼骗局已经到了普遍存在的地步。用户现在也习惯下意识地点击查看网络钓鱼电子邮件,即便他们明知不应该这么做。这就是攻击者利用人性来实施攻击活动的可怕之处!” |
人们总是充满好奇心和同情心,渴望通过自己的力量来帮助有需要的人,而这两种品质正是他们易受网络钓鱼攻击的根源所在。当他们中招了以后,他们又习惯用“我当时忙糊涂了”“我忘了”“我本应该知道这是钓鱼邮件的”等诸多借口,来推脱自己打来恶意电子邮件的错误行为。
Hayslip补充道:
“无论你采用多少技术手段和工具来阻止它们,它们总有办法成功欺骗用户”。 |
近日,Webroot公司扫描了过去18个月内的成千上万封网络钓鱼电子邮件,以了解有关针对特定目标的常见主题行的发展趋势。Hayslip向全美约100名首席信息安全官展示了此次调查结果,并了解到:“很多人都会收到类似的邮件”。在网络钓鱼电子邮件中经常可以看到与财务有关的消息和紧急通知,尽管是在不同的主题之下。
Cofense(前身为PhishMe)的网络安全战略家John“Lex”Robinson回应了Hayslip的观点,并表示攻击者对于他们发送的电子邮件的背景以及他们的攻击目标,已经有了越来越深地了解。他说:
“如果把我们今天的沟通方式(包含许多流行语)与15年前、20年前甚至30年前相比,可能就显得不那么通俗了。但是网络钓鱼邮件要求的从来都不是通俗,而是要与商业行话保持一致。” |
以下是一些最常见的网络钓鱼主题行,并向大家展示它们所包含的信息,以及它们所揭示的攻击者的目标和策略等内容。
1. 紧急求助
当攻击者不希望目标犹豫不决时,他们就会在主题行中传达一种紧迫感,因为他们希望你能够快速做出决定。
也许该钓鱼邮件不会直接说“紧急求助”,而是选择言语之间存在类似的暗示。Hayslip表示,作为一名首席信息安全官,他就经常会看到人们因为想要提供帮助而中招,而且重要的是,很多受害者的心理活动是,并不想因为没有采取某些可能很重要的行动而受到惩罚。对于这种情况,Hayslip特意告诉员工:
“我宁愿你去寻求专业帮助,也不愿你因为做错事而陷入困境。我建议你可以忽略任何在主题行中言及‘紧急’字眼的未知邮件。因为真的紧急的事情可以通过很多其他更高效的途径来解决,例如打电话。” |
2. 发票
在Cofense检测到的“Top10网络钓鱼邮件主题行”中,“发票”一词就独占6大主题行(只是表达方式有所差异),这也说明在考虑网络钓鱼主题时,财务动机仍然处于主导地位。
在谈及Cofense追踪到的最常见的网络钓鱼骗局时,Robinson表示:
“对我来说,最有意思的是绝大多数网络钓鱼骗局都涉及金钱主题。很显然,金钱对每个人来说都是一个极具刺激性的话题……当你有了这样一个极具刺激性的话题时,就能立即引起人们的兴趣。” |
虽然前6个骗局的具体消息内容有所不同,但所有人都试图用“发票”一词作为主题来吸引他们的目标。金钱是一个强大的动力,攻击者很清楚地知道这一点,并且正在利用它来击垮人们的心理防线。根据数据显示,在Cofense扫描的网络钓鱼电子邮件中,大约有100,000个电子邮件是利用“发票”一词作为主题的。
Cofense研究人员还发现,“付款汇款”是另一个受欢迎的标题,其使用量也超过了40,000封电子邮件。同时,“声明”和“付款”也是非常受欢迎的主题。
WebRoot则发现,“电汇”也是一种常见的选择,当然还有一些电子邮件会更具体:“您最近的Chase付款通知”是另一个受欢迎的财务主题。
需要注意的是,不要以为网络钓鱼欺诈只会发生在没有上网经验的人身上,即使是互联网公司也会遭到电汇诈骗,而且诈骗数额不小,已经达到数百万美元。谷歌和Facebook的会计部门电脑上由于被安装了恶意软件,通过查阅它们的转账记录瞄准了一个开发商,开了数百万美元的发票。
虽然事后经过执法机关的努力,追回了损失;但其他公司就不会这么幸运了,2016年价值30亿美元被电汇诈骗,绝大部分都无法追回。
3. 银行通知
Hayslip表示,针对公司高管的经济动机网络钓鱼攻击,往往需要攻击者付出更多的努力和研究,以及更为严谨的措辞和语法。他解释称:
“我认为,这就是‘捕鲸攻击’(whaling attacks)和普通的网络钓鱼攻击之间的区别。所谓“捕鲸攻击”,实际上是一种欺诈类型,钓鱼者找到某个公司高层或高管团队的姓名和电子邮件地址(此类信息通常会在网页上免费提供),并撰写与这些人员及其公司职位相称的电子邮件。这些电子邮件会试图诱使高管们单击某个链接并访问某个网站,在此恶意软件会下载到其计算机中,并复制按键记录或搜出敏感信息或公司机密。” |
针对高级员工实施网络钓鱼活动的攻击者,会希望其钓鱼邮件信息尽可能真实。他们可能会向行政助理发送包含特定银行名称或“紧急协助”信号的欺诈性电子邮件。他们会先对目标机构所选择的银行进行研究,并尝试模仿银行发布的通知信息。此外,攻击者还可能会联系助理,称他们的CEO或CFO正在旅行并遇到了一些财务问题,需要经济上的帮助,并利用诸如此类的借口来证明资产转移的合理性和可信性。
4. 账户验证
这一主题行与直接的经济收益关系不大,但与知识产权盗窃存在很大关联。这种类型的攻击通常会进行凭证钓鱼(credential phishing),为了在目标网络内获取立足点。许多线上服务都需要有凭证作为确认服务真实性的基础,但是凭证钓鱼就会企图获取线上服务的凭证,因此,凭证一旦遭窃,攻击者就可以直接获取所需的各类信息,包括使用者的账号、密码等等。
在进行凭证钓鱼时,就需要通过“账户验证”之类的请求来引诱你进入登录页面以验证你的凭证。因为在一系列后续活动中,攻击者需要获取到你的用户名和密码等数据,而想要获取这些信息,就可能涉及冒充您经常使用的品牌发送“账户验证”主题的钓鱼邮件。
5. 拷贝或文档拷贝
虽然恶意链接在钓鱼电子邮件中日益普遍,但Robinson认为,附件也仍然很受欢迎,且十分有效,尤其是与发票、付款通知和声明相关的电子邮件,或者是在线订购和结算相关的警报中。
这符合攻击者提高他们对业务环境的理解的趋势。因为如果他们知道员工经常发送文件的事实,就会知道恶意电子表格或Word文件形式的附件是合理的。越来越多的附件,以及将宏视为主要交付方式的事实,均表明攻击者越来越善于理解业务环境,以至于他们清楚地知道在网络钓鱼电子邮件中放入什么内容才是正常的。
此外,许多网络钓鱼邮件的主题都非常短,甚至只有一两个字。这也表明攻击者理解现代商业沟通的方式是相对非正式的。因为商业环境中的人奔波忙碌,不必设置非常正式、具体的主题。
就该主题而言,创建标准的沟通流程和政策可以帮助组织有效地防御这种形式的网络钓鱼攻击。组织可以向员工展示这些电子邮件应该来自哪里,以及它们应该采取何种格式,以便他们能够及时发现欺诈性邮件。
6. 行动请求,如“支付卖家尾款”
Hayslip指出,目标往往会轻信此类钓鱼邮件主题。在电子邮件中采用“我们需要您这样做”相关的主题行,往往能够成功地诱使目标完成攻击者需要他们完成的任何事情。调查数据也指出,在面对与“行动请求”相关的主题时,人们实际上确实是这样做的——在与“行动请求”相关的钓鱼邮件中,恶意链接的点击率高达约40%,攻击者会将受害者重定向到虚假的人力资源网站,以窃取其登录凭证。受害者在被骗后会悔悟称,“我知道我当时不应该那样做。”
在过去一年中,攻击者已经从使用恶意附件转化为嵌入恶意链接。如今,大多数网络钓鱼电子邮件中都包含恶意链接,并且从表面看来,受害者越来越难以判断这些链接是否可以安全点击。因为在过去,他们可以将鼠标悬停在一个链接上来查看它是否可疑;但是随着攻击者的技能升级,这种方式如今已经起不了作用了。
7. 亚马逊/某宝:您的订单#812-4623可能已到达
Hayslip指出,这种类型的网络钓鱼电子邮件通常会在假日期间出现(比如马上就要到来的双11盛典)。他解释称,每逢重大节假日,各类商家都会向目标客户发送大量打折促销、快递动态等邮件,这时候,钓鱼电子邮件也就伺机而动了。此外,一些特定类型的攻击还会在一年中的不同时间段出现:例如,金融和财务相关的骗局会在税收季到来时泛滥;而在圣诞节期间就会出现“支付”相关的欺诈性消息。
Hayslip补充道,该消息也可能并不会特别提及包裹是否已经到达,它可能会以您最近购买东西的收据为诱饵,并附带恶意附件。
经常在亚马逊/某宝上购物的人,很大机会会毫不犹豫地点击这些电子邮件,以查看其中的内容确定自己买的什么东西,何时能够到达等等。当然,他们也就会毫不犹豫地点击其中的恶意链接来查看他们多订购的商品,而当他们发现自己的设备已经感染恶意软件时,早已悔之晚矣。
用户应该如何警惕钓鱼邮件?
- 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙;
- 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬;
- 尤为重要的是不要回复或者点击邮件的链接,如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接;
- 留意网址–多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含);
- 不同账号使用不同口令,不要使用同样的口令;
- 不要使用很简单的口令,(如000000、生日等);
最后提醒一句,不幸中招者最好尽快更换相关密码和取消信用卡。