近年来,企业数据泄露已成为全球最常见的网络安全事件之一。据外媒报道,Risk Based Security公司统计数据表明,截至第三季度,2020年全年数据泄露的总数已经超过了360亿。黑客正在利用一切机会来攻击大型企业,以获取经济利益。美国电信巨头Verizons不久前发布的《 Verizons2019 年数据泄露调查报告》则显示,32%的企业数据泄露的罪魁祸首是网络钓鱼电子邮件。此外,78%的网络间谍活动都使用了网络钓鱼。
网络钓鱼攻击是一种典型常见的欺诈式攻击,攻击发起者通常会伪装成真实的人、系统或者企业,通过电子邮件或其他通信渠道,使用网络钓鱼电子邮件分发可执行各种功能的恶意链接或附件,从受害者中提取登录凭据或帐户信息;或者自动下载恶意软件,让受害者使用恶意软件感染自己的计算机,并以捕获最终用户的敏感数据作为最终目标。
随着人们网络安全意识的提升,网络钓鱼的手法也变得越来越高明。攻击者的社工经验愈加丰富,钓鱼技术也愈加的先进和新颖。近年常见针对企业的网络钓鱼攻击方式主要有以下几类:
1、鱼叉式网络钓鱼攻击
鱼叉攻击是一种较为高级的网络钓鱼攻击手法。一般通过电子邮件等电子通信方式进行,针对特定个人、组织或企业。通常来说,攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体账号等特定信息,进而假冒个人、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码,相关信息就会被窃取,黑客甚至会借机安装木马等恶意程序,持续破坏目标计算机。
由于鱼叉式网络钓鱼攻击的目标一般而言是特定公司、组织之成员,数据窃取目标一般为知识产权及商业机密等。鱼叉式网络钓鱼攻击的发起者会针对不同人设计不同的方法和社会工程技术,有效地将钓鱼消息和钓鱼网站做得个性化,更易于骗取信任。 因此,即便是组织内部的高层管理人员也有可能被欺骗去打开他们认为安全的邮件而被钓鱼。 网络犯罪分子借此可以窃取所需的数据,进一步攻击目标人士所在的网络。
鱼叉式钓鱼具有定制化、精准化的特性,传统的安全措施通常无法阻止这些攻击。 因此,鱼叉式钓鱼越来越难以被检测到。 一旦员工失手点击了钓鱼邮件,可能会对企业、政府乃至非营利组织带来严重后果。
2、捕鲸攻击
捕鲸攻击是鱼叉式网络钓鱼的一种形式,攻击者通常会伪装成组织内的高级管理人员身份,窃取大额资金。典型的捕鲸攻击针对的是能够授权付款的高级员工,通过仿造高层管理者的付款指令,来骗取目标向攻击者付款。
攻击者不针对组织内的低级别人员,而是针对高层,如首席执行官,首席财务官和首席运营官。钓鲸的目标是经过精心挑选的,钓鲸需要依赖于社交工程,攻击者需要更好的了解目标。通常攻击者会先从互联网和各种社交媒体平台获取目标的相关信息,然后再用此信息设计有针对性的钓鱼。
3. 水坑攻击
水坑攻击是一种成功率较高的网络攻击方式,攻击目标多为特定的团体。攻击者首先通过猜测确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
水坑攻击主要呈现出两个特征:多属于 APT 攻击,目标多为是大型、重要企业的员工或网站;多利用 0-day 漏洞。
4. 灯笼式钓鱼
灯笼式钓鱼,是一种新型的、基于社交媒体的钓鱼欺诈方法,常见于Twitter, Facebook和Instagram等热门社交媒体平台。欺诈者通过创建仿冒的品牌账号/门户,先吸引目标关注(灯笼式吸引),骗取信任后,再将用户诱导至实际的钓鱼链接,完成欺诈,这种手法常见于银行、电商、零售等行业。
5. 商业邮件欺诈
欺诈者通过注册与客户主体接近的域名,并发送相关邮件,利用社会工程学技巧,进行仿冒和欺诈活动。与纯粹的电子邮件欺骗(Email Spoofing,伪造电子邮件头,散播钓鱼网址链接或恶意附件)不同,这类邮件欺诈往往更加隐蔽,目标一般是公司管理层或财务等核心部门人员,其欺诈目标和意图也更高,给企业带来的危害更大。
因为攻击者常常仿冒企业的高级管理人员向较低级别的员工下达指令来进行,因此这类欺诈有时也会被称为CEO欺诈(CEO Fraud)。
6. 克隆钓鱼
克隆网络钓鱼属于邮件欺诈中的一种手法,攻击者利用受害者已收到的合法邮件内容,创建其恶意复制版本来进行欺诈。攻击会先将原始邮件的内容复制一份,但把其中的链接或附件替换为恶意内容,然后用一个看似合法接近的邮箱名称重新发送,借口一般是上一封电子邮件的链接或附件存在问题,诱使用户点击它们。这种方法也常常会生效。
7. 域名欺骗
域名欺骗是一种最常见的网络钓鱼形式,攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名,然后利用此域名发送电子邮件,或者搭建一个欺诈网站,欺诈网站会使用企业商标或视觉设计风格来进行仿冒,而邮件会尽可能采用企业业务相关的行业术语以增强其可信性。用户通常会被提示输入财务细节或其他敏感数据,并相信这些数据被发送到了正确的位置。
8. 恶意孪生
恶意孪生攻击是利用Wi-Fi进行的网络钓鱼形式,TechTarget.com将一个邪恶孪生描述为“伪装成合法Wi-Fi的流氓无线热点,攻击者可以在最终用户毫不知情的情况下收集个人或公司信息。”此类攻击也被称为作为星巴克骗局,因为它经常发生在咖啡店周围。
攻击者会创建一个看似真实的Wi-Fi热点,甚至设置成与真实网络相同的服务标识符(SSID),当最终用户连接时,攻击者可以窃听他们的网络流量并窃取他们的帐户名、密码,并查看用户在连接到恶意热点后访问的任何附件内容。
9. 短信钓鱼
短信钓鱼这种形式,利用了大家对短信和即时通信的依赖。攻击者发送看似来自合法来源、但包含恶意URL的文本消息,来诱使用户点击并下载恶意附件。短信可能伪装成折扣优惠券、中奖信息或节目免费门票的优惠等等形式。
10. 语音钓鱼
语音钓鱼,是指通过电话进行钓鱼欺诈。当攻击者打电话给用户,试图让用户提供个人或财务信息时,就属于此类钓鱼。攻击者经常用自动呼叫来发起通话,如果用户陷入套路,会被转接至诈骗者直接进行对话。他们还会使用移动应用程序和其他技术来篡改甚至完全隐藏来电号码。
此类攻击者经常使用各种社会工程策略来诱骗用户提供信息。一般的方法是,他们会假装是有关部门、银行工作人员或公司相关管理人员,电话中会宣称用户有违法行为、或者信用卡有可疑活动需要立即关闭,等等方式。接下来。他们需要“验证”用户的个人信息,然后才能关闭卡并重新签发新卡,欺诈由此发生。
11. 雪鞋攻击
雪鞋攻击,又称为“肇事逃逸”垃圾邮件,需要攻击者通过多个域和IP地址推出消息。每个IP地址发送的邮件量都很低,基于信誉的反垃圾邮件过滤技术无法立即识别和阻止,因此在过滤规则更新之前,此类邮件就已经送达用户的收件箱。
12. 域欺骗
域欺骗( Pharming )也被称为“无诱饵网络钓鱼”,最早出现在2004年,通过入侵DNS的方式,将使用者导引到伪造的网站上,因此又被称为DNS下毒(DNS Poisoning)。域欺骗( Pharming )攻击不需要依赖于一个欺诈网站来引诱目标。攻击者通过攻击DNS,将流量重定向到他们的钓鱼网站。一旦受害者到达这个假冒网站,网络犯罪分子只是坐下来等待,而毫无戒心的用户照常登录,在不知不觉中泄漏了敏感个人信息。
对于企业而言, 想要避免网络钓鱼攻击给企业带来的损失,必须从技术手段和员工安全意识教育两方面同时着手,才能尽可能规避风险,因此,安全419建议企业用户:
1、实施双因素身份认证。如果登录证书被盗用,攻击者在利用这些证书之前仍需要第二个认证因素。尽管这种措施无法阻止攻击者窃取登录凭证,但是能够有效地阻止攻击者成功利用这些获取到的凭证;
2、人是企业安全闭环中最重要的一部分,却也是企业安全中最容易失陷的阵地。因此加强员工安全意识教育培训,是增强企业安全运营能力的重要一环;
3、安装部署专业的钓鱼入侵检测产品,对仿冒欺诈网站实时监测,防止企业员工打开恶意文件。