2020年最狡猾电子邮件攻击

安全 数据安全
没错,新冠肺炎疫情肆虐的2020年也是电子邮件攻击狂欢的一年。但其中哪些攻击最为突出呢?

文章转载自微信公众号“数世咨询”(dwconcn)。

鬼祟无下限。应警惕能瞒过常规验证方法的狡猾网络钓鱼邮件。

[[379586]]

去年,网络罪犯以多种创新方式滥用电子邮件实施网络攻击,“战果颇丰”。用户收件箱被塞满藉由病毒恐惧情绪诱骗点击钓鱼链接的邮件。各类账户被盗,公司企业对供应商的信任惨遭攻击者利用。常规验证检查措施失效,可疑邮件大量潜入。攻击者将域名当成用后即弃的一次性物品:短暂使用后就抛弃,不给安全工具留出标记为恶意站点予以打击的机会和时间。

没错,新冠肺炎疫情肆虐的2020年也是电子邮件攻击狂欢的一年。但其中哪些攻击最为突出呢?

Darktrace电子邮件安全产品总监Dan Fein描述了他心目中2020年最“成功”的电子邮件攻击,均为该公司AI电子邮件工具Antigena检测出来的。下面我们就来看看都有哪些攻击收获了这份“殊荣”:

1. 藏匿雪中

对希望逃避隔离的滑雪爱好者而言,提供Vail Resorts雪场门票的电子邮件简直无法拒绝。然而,禁不住诱惑的结果就是沦为凭证盗窃攻击的受害者。

邮件中的网络钓鱼链接似乎指向Vail Resorts滑雪度假村公司,然后重定向至其合法订票服务及合作伙伴公司Snow.com。然而,这些都只是表象。

图:可疑参数藏在末端的链接

注意URL末尾的“p1”参数。攻击者实际上会将受害者带到s-ay.xyz上的虚假登录页面。而且,为了伪装得更像,虚假登录页面甚至在“username”(用户名)字段预先填入了受害者的电子邮件地址。由于URL实在是太长了,即使熟悉安全的用户在点击之前悬停检查了超链接目的地址,也很可能只看到一个被截断了的URL,没机会看到末端那个可疑的参数。

Fein称:“很多安全产品都不会检测,因为vailresorts.com名声清白。我觉得这很有意思,因为只要你以特定方式查看这一链接就能发现这些东西。你会意识到这个链接不寻常,因为里面隐藏了重定向。”

2. 通过SPF潜入

Fein表示:“每次SPF(发送方策略框架)或DKIM(域名密钥识别邮件)等验证检查表明邮件是从预期基础设施发来时,我们的客户都觉得‘哎呀,SPF通过了,DKIM通过了,这邮件难道还不是良性的?’但在我们看来,这还真不是。你得保持戒备之心。”

举个例子:据称发自目标公司IT部门的邮件,链向微软Office表单。Office 365登录页面还预载了用户的电子邮件地址。邮件通过了SPF和DKIM验证检查。

但是,Darktrace检测到,这封邮件很可能发自被黑账户。(不仅仅是因为邮件文本中包含“点击密码”这种语法奇怪的短语。)

Fein引用了几个潜在异常上下文的案例,并表示:“Antigena会检查上下文。比如,通常来自Outlook的邮件突然换成了出自Python脚本。或者只要看看邮件的用户代理(User Agent):一切看起来好像自动化了。要不然就看基础设施:尽管来自Outlook,却是发自非预期的国家。”

3. 令人大倒胃口的链接

还有一种邮件,号称来自IT支持服务,但根本毫无帮助。攻击者在发件人名称里嵌入了一些非拉丁字母。(有些攻击者现在会使用隐藏文本,也就是在电子邮件字母之间加入不可见字符,避免“helpdesk”(技术支持)或“password expired”(密码过期)这样的词句触发电子邮件防御机制。)

邮件本身是无伤大雅的,附件也相对无害。但附件里的超链接就成问题了。这种链接很可能号称链向在线餐厅预订服务,但实际上却是通往恶意网站。

Fein表示,Darktrace能根据风险严重程度执行一系列针对性操作:重定向可疑链接、完全剪掉可疑链接、滤掉邮件中的附件,或者阻止整封邮件。

“仅仅因为附件里有可疑的东西,不代表你得完全阻止整个附件,但在这种情况下,确实应该完全阻止。”

4. 假冒电子邮件网关

Fein选出的另一电子邮件攻击与他本人关系密切,因为攻击者假冒了一家电子邮件安全公司。邮件来自虚假思科Ironport地址,宣称内含存档文件。

发件人和收件人之间并无既往联系,这就很让人生疑了,更别提还有另一个异常敲响了警钟:Darktrace AI检测引擎将收件人集合本身标为了极不正常。

正如Fein解释的,有些用户组更容易一起出现在同一电子邮件线程中,其他用户组则不然;有些用户组预期收到未知发件人发来的外部邮件,其他则一般不会收到这种邮件。所以,如果某封邮件同时发往人力资源部门、开发团队和其他互不相关的业务线,Darktrace的检测技术就会注意到异常。

今年令Fein惊讶和棘手的电子邮件攻击,是运用狡猾的技术骗取目标收件人及其安全工具信任的那种。

“他们会顶着你熟悉的公司名称,或者采用你知道的基础设施。又或者,你收到熟人的电子邮件,然后觉得自己在登录回复他们。但这一切都不过是为了让你以为自己接下来要做的事有意义,为了增加可信度而已。”

 

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2010-09-17 14:11:18

2021-06-16 10:56:32

电子邮件电子邮件攻击BEC

2021-06-28 21:21:54

电子邮件邮件安全恶意软件

2023-08-18 11:03:34

2009-08-03 10:51:53

2022-05-05 16:24:21

APT网络攻击后门

2011-08-01 11:11:55

2009-12-16 11:47:24

赛门铁克垃圾邮件电子邮件

2010-08-06 10:38:59

2010-09-13 18:02:46

2021-08-08 09:27:20

商业电子邮件犯罪 BEC数据的安全

2011-06-03 13:19:14

2019-02-15 10:47:19

2011-08-01 12:43:03

2010-06-10 14:10:58

安全电子邮件协议

2020-12-16 09:15:12

邮件安全攻击钓鱼邮件

2011-08-30 14:48:03

电子邮件

2012-10-31 18:13:39

2022-04-06 10:27:15

黑客网络攻击
点赞
收藏

51CTO技术栈公众号