根据网络安全服务商Group-IB公司日前发布的一份调查报告,到2022年,网络钓鱼工具包的使用量增加了25%。
报告指出,2022年已经识别出3677个独特的网络钓鱼工具包,与2021年相比增加了25%。网络钓鱼工具包使网络犯罪分子能够同时创建和操作多个网络钓鱼页面。这些都是威胁行为者的有用工具,因为它们能够使他们毫不费力地构建和维护执行大规模网络钓鱼活动所需的基础设施,在遭到网络安全措施阻止的情况下可以从一个主机转移到另一个主机,并收集被盗的数据。
网络钓鱼工具包处理被盗数据的方法
网络钓鱼网站旨在收集个人数据,并需要特定的方法来收集和存储这些数据。大部分被盗数据仍然是通过电子邮件处理的。总的来说,从2022年开始,只有不到一半的网络钓鱼工具包依赖电子邮件来处理被盗信息,而Gmail是网络钓鱼工具包创建者最喜欢使用的电子邮件服务(45%)。
一个持续的趋势是Telegram在收集被盗数据方面的流行。与前一年相比,2022年使用Telegram收集被盗数据的网络钓鱼工具包数量几乎翻了一番。
2021年,5.6%的网络钓鱼工具包使用Telegram来处理被盗数据。一年后,Telegram的份额上升到9.4%。邮件的灵活性和便利性使得网络罪犯几乎可以实时地处理和管理泄露的信息。
许多网络钓鱼工具使用不止一种方法来处理被盗数据。例如,在2022年,大约有1500个网络钓鱼工具包包含通过Telegram、电子邮件或将数据写入服务器的本地文件来传输被盗数据的功能,这表明它们越来越复杂。
规避检测技术
随着Telegram的使用量越来越多,网络钓鱼攻击也变得越来越复杂,因为网络犯罪分子专注于增强逃避能力,以避免被发现和删除。
在2021~2022年期间,网络钓鱼工具包中发现的规避技术分为两类:简单的访问控制机制和更先进的检测规避方法。
在第一类中,超文本访问(.htaccess)在2022年成为最流行的规避技术——20%的检测到的网络钓鱼工具包使用了这种策略。配置文件能够使网站运营商根据访问者的IP地址限制对特定目录的访问。
2022年第二受欢迎的访问控制策略是robots.txt(在12%的工具包中看到),这是另一个防止机器人和搜索引擎爬虫访问网站的配置文件。
总体而言,与前一年相比,使用简单访问控制机制的数量在2022年增加了92%,达到1824个,当时有951个网络钓鱼工具包使用了某种选择性限制。
为了阻碍网络安全专家的工作和现成的网络安全解决方案,越来越多的网络钓鱼工具包包含了先进的检测逃避技术。基本机制包括将网络安全供应商的IP和主机名列入黑名单。
反机器人技术
更复杂的策略包括使用反机器人技术、目录随机化等。2022年,2060个网络钓鱼工具包使用了这种策略,与一年前相比增加了26%。
值得注意的是,在2022年,Group-IB公司研究人员发现,旨在防止自动网络安全扫描仪识别网络钓鱼内容的反机器人技术的使用增加了40%。
钓鱼者的主要目标之一是延长其网络钓鱼的周期。因此,最常用的检测规避技术是动态目录。网络钓鱼运营商创建随机网站文件夹,只有个性化网络钓鱼URL的接收者才能访问这些文件夹,没有初始链接就无法访问这些文件夹。
这种技术能够使网络钓鱼者逃避检测和黑名单,因为网络钓鱼内容不会暴露自己。在2022年检测到的网络钓鱼工具包中,有22%使用了动态目录。
另一种流行的策略(在2022年11%的网络钓鱼工具包中观察到)是,如果访问者的设备参数、地理位置和推荐人与受害者的个人资料不匹配,则向访问者显示虚假的404页面。
Group-IB公司的CEO Dmitry Volkov表示:“自动化使网络钓鱼者每天能够创建和管理数百个网站。”
Volkov总结说,“提取和监控网络钓鱼工具包是防止网络钓鱼攻击的重要组成部分。它可以在网络钓鱼造成巨大破坏之前帮助识别和阻止它。此外,从情报收集的角度来看,对网络钓鱼工具包的分析是非常宝贵的,因为它可以深入了解对手的策略、技术和程序 (TTP)。在许多情况下,它还可以帮助企业识别网络钓鱼工具包的开发人员,这对起诉威胁行为者很有用。”