在此处添加文本段落
火眼2019年第二季度进行了邮件安全调查,调查中人们最关心的问题如下:
1、假冒攻击,BEC(商务邮件泄露)。
2、用户电子邮件账户泄露,被盗账户用于还款。
3、来自可信第三方的网络钓鱼电子邮件。
4、用户不确定电子邮件是否为网络钓鱼。
5、用户在移动设备上发现网络钓鱼电子邮件的能力。
前文对前两个问题进行了分析讨论并给出了一定的建议,本文将对其余的三个问题进行探讨,并提供解决问题的建议。
一、目标网络钓鱼攻击
2019年第一季度电子邮件威胁报告发现,与2018年第四季度相比,网络钓鱼增加了17%,所以在企业关注的安全问题中,有三个是与网络钓鱼有关。
网络钓鱼攻击的范围很广,如图1所示,在横轴左端,攻击者使用非目标、高容量的网络钓鱼攻击,希望通过广泛的网络钓鱼方法来实现对目标的突破并获得经济上的回报。横轴向右,攻击者会使用社会工程来识别和分析受害者,利用诸如LinkedIn个人资料和Facebook帐户等现成的在线信息,来定制针对目标的钓鱼邮件(图2)。
图1 网络钓鱼攻击分析
图2 客户的在线信息
攻击者利用从互联网上收集的信息来识别会计等相关部门的员工,然后针对目标个性化定制电子邮件的内容,在发送给目标集团组织中的特定角色、管理员等,这些被攻击者锁定的目标,通常在会计或信息技术部门中具有较高权限。
虽然收集受害者信息需要前期投入大量时间,但此类针对性的钓鱼方法通常具有更高的成功率。
二、可信第三方网络钓鱼电子邮件
基于云的应用程序(如Microsoft Office 365)的流行,使得关联的登录页面成为凭证钓鱼的目标,每个Microsoft应用程序,包括Outlook和OneDrive,都有一个不同的登录页面,Microsoft是攻击者使用最高的钓鱼程序。
图3 攻击者钓鱼使用的程序分布
这些欺骗(网络钓鱼)页面之所以如此令人信服,一个重要原因是包含指向网络钓鱼页面URL的电子邮件看起来是合法的,并且是从受信任的程序厂商发送的。
三、用户不确定电子邮件是否为网络钓鱼
用户对一封电子邮件是合法还是钓鱼邮件的不确定性,是2019年第一季度强调的首要安全问题之一。
除了个性化定制的钓鱼电子邮件,网络罪犯还发现了一种更有效的技术——在假冒电子邮件中包含一个网络钓鱼链接。攻击者可以向多目标发送模糊的电子邮件,并且依然可以从中获益。
攻击者伪造友好的显示名称,使其看起来像是从熟人发送的,例如受信任的支付公司的电子邮件地址(图4),很多时候用户没有注意到badactor@opteary.com的真实电子邮件地址,认为它是另一个合法收件人。用户有时会感觉邮件和平时收到的邮件有所不同,但无法准确地指出问题所在,这会导致用户不确定电子邮件是合法的还是网络钓鱼。
图4 钓鱼邮件
四、移动设备钓鱼邮件
目前,在移动设备上读取电子邮件已成为查看邮件的主要方式,超过了Webmail和桌面客户端,因此,移动设备钓鱼邮件也成为攻击者的一大攻击方式。
电子邮件显示名称是一个用户定义的标签,用于提供发件人的可识别描述,如图4和图5所示,合法的电子邮件地址是badactor@opentary.com,友好的显示名称则是joe.smith@companypayment.com,所以乍一看,有一种电子邮件来自companypayments.com的假象。
图5 钓鱼邮件
合法地址是不可修改的,但邮件手机端仅默认显示友好的显示名称,不显示发件人的合法地址,如图6所示,MobileOutlook客户端中,一封垃圾邮件修改自己的友好显示名称为joe.smith@companypayments.com。因看不到发件人的合法地址,这封邮件就很可能被误认为是合法邮件。
当在移动电子邮件客户端上浏览时,消息预览使得显示名称更具说服力(图6),实际上,电子邮件来自badaactor@opentary.com。
图6 钓鱼邮件
冒名顶替者使用的真实电子邮件地址在许多移动电子邮件客户端中不易查看,同时,更小的显示屏也使得区分合法网页和网络钓鱼网页变得更加困难:如网络钓鱼网页可能带有值得信赖的品牌标志,但在小屏幕上很难注意到设计上的细微变化(图7)。
图7 攻击者使用克隆云服务(如Office365)登录页面来窃取公司凭证
类似地,在移动端也很难发现URL中包含了一个额外的字母或相似的数字来代替正确的字母(同形符号):移动用户无法将鼠标悬停在URL上,这使得许多用户很难区分合法网站和克隆网站,如上图7所示。
综上所述,当网络钓鱼攻击被包装在一个移动设备端的假冒邮件中时,攻击者可以很容易操纵友好的显示名称(如图5中的JoeSmith)来冒充公司高管等,这一移动设备上唯一证明邮件来源的信息,让用户很容易被欺骗,进而点击邮件中的URL或附件。
五、安全建议
技术和用户教育双管齐下,是针对目标网络钓鱼攻击的最佳防御。电子邮件安全解决方案减少了下载恶意软件或点击恶意URL的人为因素,培训的员工的安全意识则是对已潜入收件箱中的可疑电子邮件的第二层防御。
为了更好地做好防御准备,可以选择具有以下功能的电子邮件安全解决方案:
1、有投资研究恶意软件;
2、能够快速更迭防护措施,以检测最新的假冒技术和网络钓鱼攻击;
3、基于从防御设备截获攻击行为获得的实时知识构建检测能力,即针对病毒的学习能力。
其次,花时间培训用户如何发现网络钓鱼电子邮件,以确保他们与正确的人进行通信而不是攻击者。
*参考来源:FreeBuf.COM