来自GreatHorn的研究人员报告说,他们已经观察到了犯罪分子通过构造 "畸形的URL前缀 "来逃避安全软件的防护,发送钓鱼邮件进行攻击的次数增加了近6000%。除非你仔细观察URL前缀中使用的符号,要不然,它们看起来是非常合法的。
研究人员在一篇关于他们的研究发现的博客文章中说:"这些URL是畸形的,没有利用正常的URL协议,比如http://或https://,相反,他们在其URL前缀中使用的是http:/\"。
/在报告中解释说,URL地址中的斜线在很大程度上来讲是多余的,所以浏览器和许多扫描器甚至会忽略它们。
Typosquatting是一种常见的钓鱼邮件策略,即把常见的企业名称拼错,比如 "amozon.com"。试图诱导不细心的用户点击链接。研究人员解释说,如今,大多数人都知道了这类电子邮件的诈骗方式,所以网络犯罪分子也不得不研究出新的攻击方式。
电子邮件保护工具会忽略URL前缀中的反斜杠
研究人员说:"这些URL不符合常见的电子邮件扫描程序所包含的'已知的恶意链接'配置文件,程序会忽略对于它们的检查。它们也可能会逃过用户对链接的检查,因为并不是每个人都会在URL前缀中寻找可疑的线索。"
研究人员报告说,他们在去年10月首次注意到了这种新的攻击策略,并表示,自那时以来,这种攻击策略就发展的非常迅速。他们说,1月至2月初的攻击次数激增了6000%。
畸形前缀的URL攻击是什么样的?
GreatHorn提供了一封地址为”http:/\brent.johnson.australiasnationalskincheckday.org.au//exr/brent.johnson@impacteddomain.com” 的畸形URL钓鱼邮件的例子。
研究人员解释说:“钓鱼邮件似乎是由语音邮件服务发出的”。该团队报告说,该电子邮件包含了一个语音信息,播放Audi Date.wav 文件,并且该链接会重定向到一个恶意网站。
他们解释说:"该网站甚至还包括一个reCAPTCHA的验证功能,这是在合法网站中常见的安全功能,这也显示出了这种攻击的复杂性和微妙性"。
报道称,恶意网站页面看起来像Office的登录页面,页面要求输入用户名和密码。一旦输入,攻击者就可以控制受害者的账户凭证。
报告补充说,Office 365用户更有可能遭遇这种类型的攻击,"其比例远高于将Google Workspace作为云电子邮件环境的组织"。
报告解释说,使用这些恶意URL的攻击者采用了多种策略来传播他们的恶意软件,这其中包括使用伪造的名称冒充用户公司内部的电子邮件系统;通过从一个与企业没有任何关系的地址发送邮件来避免安全扫描器的检查;在钓鱼邮件中嵌入一个链接,该链接会重定向打开一个新的网页,同时使用一些语句描述让用户产生一种 "紧迫感"。
该报告还建议 "安全团队要尽快搜索其组织电子邮件中是否包含与模式(http:/\)相匹配的URL的信息,并删除其中所有相匹配的邮件",防止其系统受到攻击。
GreatHorn的首席执行官兼联合创始人Kevin O'Brien告诉Threatpost,这些恶意URL攻击可以通过使用那些能够进行细致分析的第三方解决方案来解决。
OBrien说:"在过去五年中,有各种API原生解决方案进入到市场中,许多解决方案都是专门针对那些传统安全电子邮件网关和平台无法分析或识别的威胁攻击而设计的,这些解决方案提供了强大的安全保障,在用户即将进入一些危险的网络环境时会向用户发出警报,比如我们在这次攻击中所看到的情况。"
电子邮件网络钓鱼诈骗很常见
该报告是在网络钓鱼诈骗特别猖狂的时期发布的。Proofpoint最近发布的2020年网络钓鱼状态显示,美国的网络钓鱼攻击在过去一年中猛增了14%。
Proofpoint高级副总裁兼安全意识培训总经理Alan LeFort说:"全球的网络攻击者正在以便捷且复杂的通信方式进行攻击,其中最明显的就是通过电子邮件渠道,电子邮件仍然是非常高级的攻击载体,如何确保用户能够发现和报告那些试图进行的网络攻击是安全业务的关键,特别是用户在远程工作时,通常会在一个不太安全的网络环境中。虽然许多组织表示他们正在向员工进行安全意识培训,但我们的数据显示,大多数组织做得可能还不够。"
本文翻译自:https://threatpost.com/malformed-url-prefix-phishing-attacks-spike-6000/164132/如若转载,请注明原文地址。