美国联邦调查局 (FBI) 在其最新的年度报告中确定,2020 年商业电子邮件泄露 (BEC) 和个人电子邮件帐户泄露 (EAC)在美国造成的损失至少为 18.6 亿美元,比 2019 年报告的损失增加了 5%。BEC和EAC占美国2020年报告的所有网络攻击损失的45%,60岁以上的个人占报告的受害者的11%。
粗略比较,迄今为止已知的最大勒索软件损失为 4000 万美元。 2021 年 Unit 42 勒索软件威胁报告发现,2020 年勒索软件的平均赎金为 847344 美元,而受害者支付的平均赎金为 312493 美元。 2021 年上半年,平均支付的赎金上涨了 82%,达到 570000 美元。不过这些平均支付赎金的数字是保守的,因为它们只包括支付赎金中的直接金钱损失。还不包括与公司在攻击期间被运营相关的损失,也不包括调查违规行为所花费的资源。
所有这些攻击(BEC、EAC 和勒索软件)都有一个共同点,它们需要具有对目标网络或帐户的访问特权。对于大多数攻击者来说,面对那些拥有普通或低于普通网络防御的目标,伪装成合法用户或通讯员进入网络或账户,仍然是获得秘密访问权限、同时保持低被发现风险的最简单、最经济的方法。通过使用合法凭证和公开可用的技术,恶意行为者可以“逃避防御,盗取和窃取网络中的各种信息”。虽然 APT 通过暴力凭证攻击成功地实现了他们的攻击目标,但在许多情况下,攻击者只是要求不知情的受害者交出他们的安全凭证。
电子邮件凭证盗取技术的发展
BEC/EAC 攻击的利润丰厚,促使攻击者不断修改和升级他们的攻击策略,以绕过各种保护措施。其中一项较新的技术集成了鱼叉式网络钓鱼、自定义网页和复杂的云单点登录生态系统,以诱使用户不经意地泄露其凭证。一种流行的策略是使用看似良性的网页,一旦打开,就会非常模仿流行和常用服务的合法登录屏幕,例如:
Dropbox在一份声明中表示:“这项活动与Dropbox的服务无关。这表明,依赖客户辨别真假的难度越来越大。
当诈骗者使用这种策略时,他们通常会先发送带有诱饵的电子邮件,诱使收件人打开附件或点击网页链接。电子邮件通常聚焦于业务运营的某些部分(包括财务、人力资源、物流和一般办公室运营),并指向一个与需要用户操作的主题相关的附件或链接。这些主题包括汇款、发票、未偿付款项、报价请求(RFQ)、购买确认、装运状态、语音邮件或通过电子邮件发送传真等。为了使电子邮件看起来更合法,一些攻击者以有意义的方式整合了目标的具体信息,包括在电子邮件的主题中。最近的一些邮件主题包括:
一旦打开,电子邮件就会呈现给用户一个典型的登录页面。为了降低怀疑,攻击者经常以加强安全为幌子让用户注销账户。在某些情况下,发送页面时已经包含了用户的电子邮件地址(再次尝试提高请求的合法性),并且只要求输入密码。这些误导性的登录屏幕会发出警报,例如:
- 你需要通过电子邮件登录,以确保你是受保护文件的合法收件人,邮件服务器的文件由“插入安全供应商”保护;
- 要阅读该文档,请输入此文件发送到的有效电子邮件凭据;
- 因为你正在访问敏感信息,因此需要验证你的密码;
- 因为你正在访问敏感信息,因此需要身份验证;
- 无法识别该设备,为了安全起见,公司名称要真实;
- 你的电子邮件帐户(用户名)已经注销,请单击“确定”以登录;
- 请登录你的帐户以查看受保护的文件;
- 你已经注销,请输入正确的电子邮箱和密码;
- 通过登录 Office 以从任何地方访问你的文档;
- 你的密码是查看传真信息的安全密码。
模拟Microsoft的恶意登录请求的示例,需要凭证才能访问文档
一个恶意登录请求模拟SharePoint的例子,需要凭证才能访问文档
模拟Microsoft的恶意登录请求的示例,需要凭证才能访问文档
攻击者们还添加了巧妙的策略来进一步欺骗用户。在某些情况下,他们自定义构建他们的“登录”模板,以匹配他们所针对的特定公司使用的公司电子邮件系统的外观和感觉。在其他情况下,他们会根据用户电子邮件地址的域部分自动检测关联公司,然后将该公司的徽标集成到欺诈网页中。
JavaScript示例,用于从受害者的电子邮件地址识别组织,然后将其徽标合并到后续页面中。
此外,许多攻击者正在他们的代码中添加逻辑,以确保用户准确输入凭证。一个格式不正确的电子邮件地址或空白的密码将产生一个错误指示用户重试。攻击者还会对第一次正确格式化的尝试自动做出“密码错误,请再试一次”的反应。这些技术增加了攻击者收到有效密码的可能性,并可能减少谨慎用户的怀疑,这些用户可能首先输入假凭证来查看请求是否合法。
用于验证凭证的 JavaScript 示例
假设诈骗者认为他们让用户打开文件附件的机会太低,或者他们可以创建一个有点可信的完全限定域名。在这种情况下,他们还可以简单地将用户指向合法托管服务上的网站,上面的技术都包含在一个托管页面中。最近用户可能错误导航到的一些恶意网站包括:
用户输入并提交凭证后,Web 浏览器会将 HTTP 发布请求中的信息发送到通常以 *.php 结尾的 URL。作为超文本处理器,PHP 使诈骗者能够轻松捕获任何收到的凭证,对其进行解码并将其存储在数据库中。此外,虽然攻击者可以购买和维护支持这些骗局的 Web 域,但我们看到大量使用以前被攻击和合并的合法域来满足这些骗子的需求。
这种对合法基础设施的恶意使用给网络防御者带来了两个挑战。首先,识别恶意流量是困难的,因为它发生在两个潜在的可信网络之间。其次,一旦识别为恶意活动宿主,阻止合法域名通常是不可能的,因为它也会阻止该域名的合法和经常需要的内容。由于这些原因以及零成本,黑客们越来越多地依靠附加的基础设施来达到他们想要的目的。
为了防止用户在无法登录虚假网站时产生怀疑,诈骗者通常会采用以下方法:
- 重定向到用户认为他们正在登录的合法网站,如果已经登录,这会将他们直接带到他们的帐户中,从而增加他们对请求的合法性的感觉;
- “服务不可用错误”建议他们稍后再试;
- “找不到文件”错误;
- “扫描文件锁定”错误和“重定向回你的帐户”,然后将用户重定向回其合法收件箱;
- 通用内容;
- 为网络钓鱼尝试定制的内容。
一旦攻击者窃取了有效的用户凭证,他们就离骗取公司或用户的资金更近了一步。攻击者将使用盗取到的凭证对用户的文件、交易和通信进行初步侦察。有了这些信息,攻击者现在可以更好地了解以下情况:识别其他价值目标、了解正常的业务流程和审批链、利用用户的文档或共享文件访问权限来创建自定义网络钓鱼文档,并通过伪装为帐户用户来使用帐户获取经济利益或转向更有利可图的环境。
总结
对于企业或用户来说,检测上述恶意策略可能非常具有挑战性。此外,大多数网络安全产品通常不会自动将这些活动检测为恶意活动,因为诈骗者们在其骗局中使用了合法网页的精确副本,并没有将木马、间谍软件、键盘记录程序或其他恶意软件纳入他们的盗取尝试。 Unit 42 研究人员建议采取以下措施来降低上述策略造成的电子邮件泄露风险:
- 对所有企业和个人帐户实施多因素身份验证;
- 不断更新和培训用户关于 BEC/个人 EAC 骗局中使用的不断发展的策略和社会工程;
- 不要相信任何链接,始终验证;
- 确保用户和管理员明白,即使文件成功通过病毒扫描,它仍然可能具有恶意目的;
- 确保用户了解哪些服务是单点登录以及访问这些帐户的合法 URL;
- 定期更改密码,每个帐户使用一个独立的复杂密码,并使用密码管理器来跟踪凭证。
本文翻译自:https://unit42.paloaltonetworks.com/credential-harvesting/