《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 黑客們正在“深海釣魚(yú)”,我們?cè)撊绾螒?yīng)對(duì)?

黑客們正在“深海釣魚(yú)”,我們?cè)撊绾螒?yīng)對(duì)?

2021-11-03
來(lái)源:嘶吼專業(yè)版
關(guān)鍵詞: 黑客 釣魚(yú)

  黑客正在使用一種我稱之為“深海網(wǎng)絡(luò)釣魚(yú)”的方法提升他們的攻擊水平,即結(jié)合使用下面我將提到的一些技術(shù)來(lái)使自己變得更具攻擊性。為了跟上步伐,網(wǎng)絡(luò)安全創(chuàng)新者一直在努力開(kāi)發(fā)工具、技術(shù)和資源來(lái)提高防御能力。但是,組織如何才能應(yīng)對(duì)尚未啟動(dòng)甚至尚未構(gòu)想出來(lái)的不斷演變的威脅呢?

  例如,今年2月,10,000名Microsoft用戶成為網(wǎng)絡(luò)釣魚(yú)活動(dòng)的目標(biāo),該活動(dòng)發(fā)送聲稱來(lái)自FedEx、DHL Express和其他快遞公司的電子郵件,其中包含指向托管在合法域上的網(wǎng)絡(luò)釣魚(yú)頁(yè)面的鏈接,目的是獲取收件人的工作電子郵件憑據(jù)。使用合法域名可以使電子郵件逃避安全過(guò)濾,而人們因疫情而對(duì)快遞服務(wù)以及相關(guān)信息的依賴提高了釣魚(yú)活動(dòng)的成功率。

  今年5月,攻擊者發(fā)起了大規(guī)模、復(fù)雜的以支付為主題的網(wǎng)絡(luò)釣魚(yú)活動(dòng)。網(wǎng)絡(luò)釣魚(yú)電子郵件敦促用戶打開(kāi)附加的“付款建議”--實(shí)際上,這根本不是附件,而是一個(gè)包含指向惡意域鏈接的圖像。打開(kāi)后,基于Java的STRRAT惡意軟件被下載到端點(diǎn)上,并通過(guò)命令和控制(C2)服務(wù)器連接運(yùn)行后門功能,例如從瀏覽器收集密碼、運(yùn)行遠(yuǎn)程命令和PowerShell、記錄擊鍵和其他犯罪活動(dòng)。

  網(wǎng)絡(luò)釣魚(yú)也不再是一直在地下醞釀的小規(guī)模網(wǎng)絡(luò)騷擾。如今,近70%的網(wǎng)絡(luò)攻擊(如上所述)是由有組織的犯罪或與民族國(guó)家有關(guān)聯(lián)的行為者精心策劃的。隨著許多recovery tab達(dá)到數(shù)百萬(wàn),組織需要一個(gè)解決方案來(lái)保護(hù)他們免受尚未設(shè)計(jì)的攻擊,即可能造成最大損害的0day攻擊。

  但是在我們解決防御問(wèn)題之前,讓我們首先看看我們要防御的對(duì)象。下面提到的網(wǎng)絡(luò)釣魚(yú)策略的類型按復(fù)雜程度的升序排列出。

  網(wǎng)絡(luò)釣魚(yú)的類型

  并非所有網(wǎng)絡(luò)釣魚(yú)攻擊所造成的損害都是相同的,但所有網(wǎng)絡(luò)釣魚(yú)攻擊都將在設(shè)計(jì)上對(duì)組織造成損害,可能涉及巨額財(cái)務(wù)支出、補(bǔ)救成本、收入損失和聲譽(yù)受損。攻擊范圍從典型的網(wǎng)絡(luò)釣魚(yú)電子郵件到復(fù)雜的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)計(jì)劃和“捕鯨”。

  ?釣魚(yú)郵件

  普通的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中,網(wǎng)絡(luò)釣魚(yú)者向一大群收件人發(fā)送電子郵件,他們有充分理由期望收件人中的一小部分人會(huì)點(diǎn)擊。網(wǎng)絡(luò)釣魚(yú)電子郵件通常設(shè)計(jì)為看起來(lái)像是來(lái)自受信任公司的官方消息。然而,當(dāng)收件人點(diǎn)擊電子郵件中嵌入的看似無(wú)害的鏈接時(shí),惡意軟件可能會(huì)直接下載到他們的設(shè)備上,或者打開(kāi)惡意網(wǎng)頁(yè),下載惡意軟件或要求輸入憑據(jù)、帳號(hào)或其他有價(jià)值的數(shù)據(jù)等個(gè)人信息。

  ?魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件

  與廣泛撒網(wǎng)的網(wǎng)絡(luò)釣魚(yú)不同,魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件具有高度針對(duì)性,針對(duì)特定的個(gè)人或組織。網(wǎng)絡(luò)犯罪分子使用社交媒體和其他公共信息為特定個(gè)人創(chuàng)建個(gè)性化電子郵件,并偽裝成受信任的發(fā)件人。

  例如,在4月,5億個(gè)LinkedIn帳戶的個(gè)人信息從社交媒體平臺(tái)上被抓取和泄露,并作為魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的誘餌出售。由于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件是個(gè)性化的,因此收件人更有可能點(diǎn)擊其中的惡意鏈接,甚至在登錄頁(yè)面上輸入憑據(jù)。

  ?捕鯨

  捕鯨是魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的一種形式,其目標(biāo)是首席執(zhí)行官和首席財(cái)務(wù)官等知名人士,以獲取高度敏感的個(gè)人或業(yè)務(wù)數(shù)據(jù)。“發(fā)件人”可能偽裝成業(yè)務(wù)伙伴、客戶或有關(guān)鍵業(yè)務(wù)問(wèn)題需要目標(biāo)個(gè)人解決的人。捕鯨電子郵件的主要目標(biāo)是竊取敏感的商業(yè)信息。

  魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和捕鯨與一般網(wǎng)絡(luò)釣魚(yú)攻擊的不同之處在于使用個(gè)人和專業(yè)數(shù)據(jù),在接收者眼中建立更高的合法性。它們是每個(gè)人都需要防范的一種成功率很高的網(wǎng)絡(luò)釣魚(yú)形式。

  網(wǎng)絡(luò)犯罪分子的成功主要還是歸因于個(gè)人

  更復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊需要更多的開(kāi)發(fā)時(shí)間和精力,投資會(huì)以更大的預(yù)期得到回報(bào),尤其是在惡意軟件分層時(shí)。這些方法對(duì)犯罪分子仍然有效:事實(shí)上,根據(jù)對(duì)全球MSP的調(diào)查,67%的受訪者表示網(wǎng)絡(luò)釣魚(yú)電子郵件是勒索軟件攻擊最常見(jiàn)的傳遞渠道。

  許多公司要求員工定期接受反網(wǎng)絡(luò)釣魚(yú)培訓(xùn),但是員工培訓(xùn)并不足以保護(hù)組織,因?yàn)槿耸蔷W(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)。人是容易上當(dāng)受騙的、習(xí)慣驅(qū)動(dòng)的生物,我們很容易就會(huì)點(diǎn)擊危害組織整個(gè)網(wǎng)絡(luò)的鏈接。

  Verizon的2021年數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)的最高發(fā)現(xiàn)指出,85%的泄露涉及人為因素,36%涉及網(wǎng)絡(luò)釣魚(yú)(比上一年增加11%),10%的泄露涉及勒索軟件--是前一年的兩倍年。

  勒索軟件-網(wǎng)絡(luò)釣魚(yú)鏈接

  各種規(guī)模的組織都應(yīng)該考慮勒索軟件攻擊(通常始于網(wǎng)絡(luò)釣魚(yú))會(huì)對(duì)他們的績(jī)效、財(cái)務(wù)穩(wěn)定性和未來(lái)產(chǎn)生什么影響。更重要的是,他們應(yīng)該評(píng)估他們的網(wǎng)絡(luò)安全策略和安全架構(gòu)。

  據(jù)SonicWall稱,自2019年以來(lái),勒索軟件攻擊增加了62%。

  這種沖擊包括小型企業(yè)。估計(jì)有一半的網(wǎng)絡(luò)攻擊都針對(duì)這一群體,他們可能沒(méi)有與大型組織相同的網(wǎng)絡(luò)釣魚(yú)意識(shí)培訓(xùn)。由此產(chǎn)生的收入損失和補(bǔ)救成本、停機(jī)時(shí)間、聲譽(yù)損害和法律費(fèi)用對(duì)小型企業(yè)來(lái)說(shuō)都是巨大的打擊。

  勒索軟件在不停發(fā)展……

  新的發(fā)展使勒索軟件更具威脅性。根據(jù)FBI的說(shuō)法,Ryuk是目前勒索金額最高的軟件?,F(xiàn)在,它還添加了類似蠕蟲(chóng)的功能,這使得它不再依賴于人為點(diǎn)擊來(lái)傳播。這是一個(gè)重大的令人擔(dān)憂的情況。

  考慮一下:初始感染僅在幾秒鐘內(nèi)發(fā)生。當(dāng)用戶單擊網(wǎng)絡(luò)釣魚(yú)電子郵件中的鏈接時(shí)啟動(dòng)的勒索軟件會(huì)迅速開(kāi)始在整個(gè)網(wǎng)絡(luò)中橫向傳播,對(duì)PC和服務(wù)器進(jìn)行加密,從而最大限度地造成損害-并為瞄準(zhǔn)您組織的網(wǎng)絡(luò)犯罪分子帶來(lái)最大利潤(rùn)。

  然后勒索軟件會(huì)讀取受感染的文件,搜索用戶憑據(jù),使其能夠通過(guò)網(wǎng)絡(luò)計(jì)算機(jī)或映射驅(qū)動(dòng)器之間的遠(yuǎn)程桌面連接更快地傳播。在云上備份數(shù)據(jù)雖然是一種很好的做法,但未必就完全足夠。

  復(fù)雜的勒索軟件可以將共享網(wǎng)絡(luò)驅(qū)動(dòng)器和云備份服務(wù)上的文件作為目標(biāo),從而使您的整個(gè)組織陷入癱瘓,讓您受到網(wǎng)絡(luò)犯罪分子的肆意擺布。

  勒索軟件的影響也可能遠(yuǎn)遠(yuǎn)超出業(yè)務(wù)本身。例如,5月份對(duì)Colonial Pipeline(一家擁有900名員工的公司)的勒索軟件攻擊導(dǎo)致5,500英里長(zhǎng)的管道關(guān)閉,而這些管道輸送著美國(guó)東海岸45%的燃料供應(yīng)。迫于為依賴管道提供燃料的數(shù)千萬(wàn)人和組織恢復(fù)服務(wù)的壓力(包括醫(yī)療服務(wù)、執(zhí)法機(jī)構(gòu)、消防部門、機(jī)場(chǎng)和廣大公眾),該公司不得不支付440萬(wàn)美元的贖金。

  人的行為是很難改變的

  一封電子郵件只需要在一個(gè)易受攻擊的時(shí)刻命中,其誘餌就會(huì)引誘收到它的員工,讓該人點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件中看似合法的鏈接來(lái)下載受感染的文件。面對(duì)當(dāng)今的0day威脅和高級(jí)惡意軟件,需要比基于簽名的掃描技術(shù)和查找已知惡意域更強(qiáng)大的防御。

  組織不能依賴其用戶作為抵御網(wǎng)絡(luò)釣魚(yú)的最后一道防線。畢竟,用戶漏洞是網(wǎng)絡(luò)釣魚(yú)如此有效和被廣泛使用的原因。也不要責(zé)怪您的員工:網(wǎng)絡(luò)犯罪分子是人類行為研究和利用方面最為最老練的專家。

  防御選項(xiàng):遠(yuǎn)程瀏覽器隔離

  出于種種原因,必須考慮一種非常不同的方法,即假定漏洞存在時(shí)防止暴露于惡意軟件和勒索軟件的方法。隨著網(wǎng)絡(luò)釣魚(yú)攻擊變得越來(lái)越多層次和多方面,很難說(shuō)下一個(gè)網(wǎng)絡(luò)犯罪的新方法將是什么,因此面向未來(lái)的觀念變得很重要。

  遠(yuǎn)程瀏覽器隔離(RBI)為組織提供了防御,即使是最復(fù)雜的基于Web的攻擊。當(dāng)用戶單擊電子郵件中的鏈接或打開(kāi)新的瀏覽器選項(xiàng)卡時(shí),RBI會(huì)在位于云中遠(yuǎn)程隔離容器中的虛擬瀏覽器中執(zhí)行Web內(nèi)容。只有安全的渲染數(shù)據(jù)才會(huì)發(fā)送到用戶的常規(guī)端點(diǎn)瀏覽器,從而提供完全交互式的常規(guī)瀏覽體驗(yàn)。沒(méi)有Web內(nèi)容到達(dá)用戶設(shè)備,并且可以以只讀模式打開(kāi)具有潛在風(fēng)險(xiǎn)的站點(diǎn)以防止憑據(jù)被盜,因此用戶可以100%免受惡意網(wǎng)站和網(wǎng)絡(luò)釣魚(yú)電子郵件中URL的惡意軟件攻擊。

  網(wǎng)絡(luò)釣魚(yú)不僅存在,而且每天都在變得越來(lái)越先進(jìn)和危險(xiǎn)。接受人類易犯錯(cuò)誤和容易被操縱的這一點(diǎn)至關(guān)重要,因此組織不應(yīng)當(dāng)將重點(diǎn)放在培訓(xùn)上,而是要選擇有效保護(hù)組織免受網(wǎng)絡(luò)犯罪分子影響的解決方案。使用RBI來(lái)隔離用戶并使他們與惡意電子郵件鏈接和網(wǎng)絡(luò)釣魚(yú)站點(diǎn)的危險(xiǎn)“隔絕”,是一種很好的方法,組織可以采用這種方法來(lái)使自己遠(yuǎn)離網(wǎng)絡(luò)釣魚(yú)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。