文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Cloudflare《2023年网络钓鱼威胁报告》

2024-11-30 09:14

关注

此外,电子邮件又是最难保护的应用之一。如果保护很简单,就不会有那么多商业电子邮件妥协(BEC)造成高达500亿美元损失的新闻,也不会有那么多某人被钓鱼手段骗到并导致入侵的事件。一旦攻击者成功渗透一个电子邮件账户,他们就可以横向移动并影响各种内部系统。

为了研究关键的网络钓鱼趋势,这一首次发布的Cloudflare《网络钓鱼威胁报告》评估了超过2.79亿个电子邮件威胁指标、2.5亿封恶意电子邮件、近10亿起品牌假冒事件,以及2022年5月到2023年5月期间处理的大约130亿封电子邮件中收集的其他数据点,旨在帮助组织更好地应对网络钓鱼威胁。

关键数据

电子邮件威胁分类

攻击者通常会结合使用社交工程和技术策略,使他们的消息对收件人和收件人的电子邮件系统而言都看似合法。为此,Cloudflare使用了许多先进的检测技术来分析“模糊”信号(不仅仅是由肉眼可以看到的内容),以识别不受欢迎的电子邮件。这些信号包括:

以下是Cloudflare在2022年5月2日至2023年5月2日期间观察到的热门电子邮件威胁指标的快照。研究人员将威胁指标分为30多个不同的类别;在此期间,最主要的威胁指标有欺骗性链接、域期限(新注册的域名)、身份欺骗、凭据收集器和品牌假冒等。

【按威胁类别划分的占比情况】

头号威胁:欺诈性链接

欺骗性链接是第一大电子邮件威胁类别,占检测结果的35.6%。它也是上一年(2021年5月至2022年4月)的第一大威胁类别,占所有威胁指标的38.4%。

当“认识”的某人发来电子邮件时,点击其中的链接是很自然的行为,尤其是当这封电子邮件很及时且看似合法时。但是点击错误的链接可能会导致一些严重后果,例如:

案例剖析

这场以DocuSign为主题的SVB(硅谷银行)钓鱼攻击发生在2023年3月,攻击者针对多个组织的数十个人发动了攻击(包括Cloudflare联 合 创 始 人 兼 CEO Matthew Prince)。邮件中包含一个初始链接和一个深达四层的复杂重定向链。

如果用户点击了“查看文档”链接,攻击链就会开始执行。该链接将用户带到由Sizmek(亚马逊广告服务器)运行的可追踪分析链接,其网址为bs[.]serving-sys[.]com。

然后,链接将用户重定向到托管在na2signing[.]web[.]app域上的Google Firebase应用程序na2signing[.]web[.]appHTML代码,随后将用户重定向到一个运行在eaglelodgealaska[.]com域上的WordPress网站,后者运行着另一个重定向器。经过最后一次重定向后,用户将被发送到由攻击者控制的docusigning[.]kirklandellis[.]net网站。

多渠道网络钓鱼的开端可能是一个“无害的”链接

研究发现,越来越多攻击是通过多个通信渠道对用户发动的——通常最初是一个链接。研究人员将此类攻击称为“多渠道”网络钓鱼。调查显示,有89%的安全决策者对多渠道钓鱼威胁表示担忧。

多渠道钓鱼攻击的一个例子涉及“延迟”攻击,即在电子邮件首次发送时链接仍然是无害的。具体操作步骤如下:

案例剖析

2022年7月,Cloudflare安全团队收到报告,称有员工收到了看起来合法的短信,指向一个貌似Cloudflare Okta登录页面的网址。短信指向一个看似正式的域名(cloudflare-okta[.]com),但该域名是在钓鱼企图开始前不到40分钟内注册的。

如果有人点击了链接,他们将被带到一个钓鱼页面,该页面看起来与合法的Okta登录页面完全相同(Cloudflare将Okta作为其身份提供者),并提示访问者输入其凭据。

最终,如果目标受害者完成在钓鱼网站上输入凭据和基于时间的一次性密码(TOTP)的步骤,钓鱼页面将开始下载钓鱼负载,其中包括AnyDesk的远程访问软件。该软件一旦被安装,攻击者就能远程控制受害者的设备。

不过好在,Cloudflare并不使用TOTP代码(相反地,每位员工都配备了符合FIDO2标准的物理安全密钥)。攻击者无法绕过其硬件密钥要求或其SASE平台:Cloudflare One。

身份欺骗威胁飙升

如今,更多的攻击使用身份欺骗(假冒某人的身份)——第三大电子邮件威胁类别。2022年2月至2023年5 月2日期间检测到的威胁中,14.2%含有身份欺骗,较一年前的10.3%大幅飙升。这种攻击类型有很多形式,包括品牌模拟和商业电子邮件妥协(BEC)。

案例剖析

在2022年美国中期选举前的三个月内,Cloudflare阻止了大约15万封发送给竞选官员的钓鱼邮件。其中一次钓鱼尝试的目标是美国国会候选人的工作人员。

这些工作人员收到了一封主题为“员工工资单审核”的电子邮件,要求他们访问一个文档链接。该电子邮件包含了正确的电子邮件页脚和与竞选活动一致的品牌标识。

然而,Cloudflare的模型在电子邮件的元数据中发现了几处不一致,包括一个指向新注册域名的链接。最终,Cloudflare系统阻止了这封电子邮件,从而防止了可能的数据和金钱损失。

全球BEC威胁激增

到现在为止,许多组织已经听说过商业电子邮件妥协(BEC)——这是一种以财务为动机的特定形式的网络钓鱼。然而,BEC仍继续造成重大。原因在于它不依赖于欺骗性链接或恶意附件,而是利用对收件人的电子邮件行为和商业流程的深入了解。这种知识也可以延伸到破坏目标的可信供应链和合作伙伴。

例如,BEC攻击中可能使用的帐户入侵,即攻击者实际控制了某个用户的电子邮件账户。如果是某个合作伙伴的电子邮件账户,则被称为“供应商电子邮件破坏”(VEC)。被入侵的帐户可以针对其他人进行攻击,因为来源并没有改变。

想象一个信任了一段时间的供应商:您经常给他们发邮件,讨论项目,甚至他们的周末计划。然后,有一天,您支付了一张“假”发票——它在各方面看起来都像过去的发票,仅银行代码改变了。这是因为攻击者已经在您的电子邮件帐户中“潜伏”数周,甚至数月。

虽然BEC威胁在总检测量中占比并不高(0.5%),但研究人员认为,这是由于现在的技术可在攻击周期中更快地识别这些威胁,例如,在攻击者有机会发送欺诈性发票以转移付款之前。

数据显示,那些未能阻止企业电子邮件破坏(BEC)的组织将面临比以往更大的财务损失:

品牌模拟威胁

在2022年5月至2023年5月期间,我们观察到在针对Cloudflare客户的电子邮件中约有1,000个不同的品牌遭到冒充。以下为攻击者最常假冒的全球20大知名品牌:

案例剖析

今年初,Cloudflare发现并阻止了一个利用微软品牌的网络钓鱼活动,该活动试图通过一个合法但被入侵的网站获取凭据。

在下面的电子邮件示例中,尽管电子邮件呈现了文字,但正文中却没有任何文本。整个正文是一个超链接的JPEG图像。因此,如果收件人点击了正文中的任何地方(即使他们并不打算点击链接),他们实际上就是在点击链接。

最初,该图片的超链接似乎是一个良性的百度URL——hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是,如果点击此链接,目标的浏览器就会被重定向到一个已被入侵并用于托管凭据收割机的网站。

攻击者使用了Microsoft Office 365品牌,但试图通过在图片中包含品牌信息来规避任何品牌检测技术(即没有可供检查以识别该品牌的明文或HTML文本)。

不过,Cloudflare使用光学字符识别(OCR)成功识别出了图片中的“Office 365”和“Microsoft”。我们还利用OCR识别了与密码有关的可疑账户诱饵。

在本例中,攻击者的技巧包括:

这种攻击手段利用了百度的高信誉和真实性,绕过了托管凭据收集器的真实主机/IP的信誉。

虽然此次特定活动的重点是获取微软凭据,但研究发现攻击者经常使用类似方法绕过品牌检测技术,诱骗受害者下载恶意软件和其他恶意有效负载。

网络钓鱼活动中经常会出现URL重定向技术,但威胁行为者会滥用越来越多的合法域名(如 baidu.com、bing.coml等),从而不断改进其方法。

品牌模拟骗过常见电子邮件防御措施

电子邮件身份验证(特别是SPF、DKIM和DMARC标准)是经常提到的可以有效防止品牌假冒的手段:这些标准有助于验证服务器和租户的来源、保护信息完整性、提供策略执行等。

然而,攻击者仍然可以找到绕过身份验证的方法来欺骗电子邮件套件;数据显示,89%不受欢迎的邮件“通过了”SPF、DKIM 和/或 DMARC 检查。

电子邮件身份验证的一些优势和局限性包括:

结论和建议

攻击者的战术正在不断更新变化。在邮件到达收件箱之前、期间和之后,必须实施多重保护。

所有组织都应将零信任的“永不信任,始终验证”安全模式不仅推广到网络和应用程序,还要扩展到电子邮件收件箱。

除了使用零信任方法确保电子邮件安全外,安全专家还建议:

1. 通过多种反钓鱼措施来增强云电子邮件

跨多个设备使用消息传递、协作、文件共享和企业软件即服务应用程序都有助于提高员工的工作效率和体验。许多这样的环境都认定成“封闭的”,但如果一个仿冒供应链合作伙伴凭据的网络钓鱼攻击成功,就会使组织面临数据丢失、凭据被盗、欺诈和勒索软件攻击。为电子邮件收件箱开发的保护措施必须覆盖到这些环境,并贯穿员工的日常工作流程。

2. 采用防网络钓鱼的多因素身份验证(MFA)

虽然并非所有多因素身份验证都能提供相同的安全层,但硬件安全密钥是防止网络钓鱼攻击成功的最安全身份验证方法之一。即使攻击者获得了用户名和密码,这些密钥也能保护网络安全。

3. 降低人类犯错率

让员工和团队使用的工具更加安全,防止他们出错,从而满足他们的需求。例如,远程浏览器隔离(RBI)技术与云电子邮件安全集成后,可以自动隔离可疑的电子邮件链接,防止用户接触到潜在的恶意Web内容。在不受信任的网站上,键盘输入也可以进行禁用,以保护用户避免在填写表格时意外输入敏感信息或凭据而遭到窃取。这可以有效地允许用户不用中断他们的工作流程即可安全地打开链接,为抵御多渠道网络钓鱼攻击提供了一层防御。

4. 建立多疑但不责难的文化

鼓励开放、透明的“发现问题、及时报告”方式,与IT和安全事件响应团队进行全天候合作,有助于让每个人参与到网络安全工作中来。遭到攻击时,每分钟都很重要。建立一个多疑但不责难的文化,提前并经常报告可疑活动,以及真实的错误,有助于确保事件(无论多么罕见)能够尽快得到报告。

原文链接:https://blog.cloudflare.com/2023-phishing-report/

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯