對(duì),就是你!99%的網(wǎng)絡(luò)攻擊離不開受害者的幫忙
研究揭示大多數(shù)罪犯如何利用人的好奇心和信任,騙取點(diǎn)擊、下載、安裝、打開和發(fā)送金錢或信息。
絕大多數(shù)網(wǎng)絡(luò)罪犯針對(duì)的是人而不是基礎(chǔ)設(shè)施:2018 至 2019 年間,超過 99% 的電子郵件分發(fā)惡意軟件,需要受害者人為點(diǎn)擊鏈接、打開文檔、接受安全警告,或者完成其他任務(wù),才可以有效入侵目標(biāo)公司。罪犯瞄準(zhǔn)的不是各類系統(tǒng),而是人,是人擔(dān)任的職務(wù),及其可以訪問的數(shù)據(jù)。
以上數(shù)據(jù)出自 Proofpoint 研究人員歷經(jīng) 18 個(gè)月攻擊趨勢(shì)觀察編撰而成的《人為因素 2019》報(bào)告。報(bào)告指出,隨著攻擊者從打砸搶式勒索軟件攻擊活動(dòng),轉(zhuǎn)向精心策劃的商業(yè)電郵入侵陰謀和域名欺詐,公司企業(yè)越來越容易遭遇社會(huì)工程攻擊,社會(huì)工程攻擊的復(fù)雜程度也持續(xù)上升。
Proofpoint 威脅情報(bào)主管 Chris Dawson 稱:觀察到的絕大多數(shù)威脅,需要某種形式的人機(jī)交互。使用硬件或軟件漏洞的情況也時(shí)有所見,但這些最終還是要嵌入到惡意文件中。甚至漏洞利用程序和宏的使用,也需要人來點(diǎn)擊鏈接、打開文檔、接受安全警告,或完成其他動(dòng)作。
Proofpoint 報(bào)告稱,2018 所有網(wǎng)絡(luò)釣魚活動(dòng)中,通用電子郵件收集占比近 25%。憑證收集依然是今年的重點(diǎn)關(guān)注項(xiàng),其技術(shù)正轉(zhuǎn)向微軟 Office 365 網(wǎng)絡(luò)釣魚和冒充攻擊。云存儲(chǔ)、DocuSign 和微軟云服務(wù)網(wǎng)絡(luò)釣魚是今年最熱網(wǎng)絡(luò)釣魚誘餌,取代了去年分發(fā)飲食相關(guān)垃圾郵件,捕獲受害者信用卡的 “健腦飲食” (Brain Food) 僵尸網(wǎng)絡(luò)。
Dawson 表示,攻擊者知道公司企業(yè)正轉(zhuǎn)向云端,雇員只要看到眼熟的東西就會(huì)點(diǎn)擊,即便發(fā)送者不再聯(lián)系人列表內(nèi)。用戶已慣于看到 Office 365 和 Dropbox 鏈接;點(diǎn)擊這些鏈接的直覺已經(jīng)勝過三思而后行的本能了。
假冒攻擊郵件正從 “請(qǐng)求” 類主題欄轉(zhuǎn)向顯示 “支付” 或 “緊急” 的消息。主題欄誘餌也隨季節(jié)變動(dòng),2018 年末和 2019 年初盛行 W-2 報(bào)稅表相關(guān)的攻擊,且各行業(yè)用語不同。比如說,教育行業(yè)收到的假冒攻擊郵件大多為 “請(qǐng)求” 和 “致意” 類,而針對(duì)工程公司的攻擊,通常在主題欄寫 “緊急” 或 “要求” 字樣。為跟上商業(yè)流程,多數(shù)假冒電子郵件在星期一發(fā)送,快到周末時(shí)漸漸偃旗息鼓。
背后原因是什么?
與大量投送勒索軟件的廣撒網(wǎng)式攻擊活動(dòng)不同,現(xiàn)在的攻擊者小范圍利用更縝密的攻擊。他們更偏好可以不觸發(fā)任何警報(bào),駐留受害者計(jì)算機(jī)數(shù)天或數(shù)月的那類惡意軟件。很多攻擊者都已經(jīng)轉(zhuǎn)向分發(fā)復(fù)雜后門以收集數(shù)據(jù)了。
方法和工具的變遷皆旨在更長(zhǎng)久地駐留受害者主機(jī),長(zhǎng)期收集數(shù)據(jù),以及圖謀后續(xù)再做點(diǎn)別的動(dòng)作。勒索軟件攻擊如今也表現(xiàn)出新的模式,似乎早在感染開始前,企業(yè)就已經(jīng)被入侵了。
誰家收件箱面臨風(fēng)險(xiǎn)?
當(dāng)今攻擊活動(dòng)正朝向針對(duì)性攻擊發(fā)展;但攻擊者在目標(biāo)類型選擇和攻擊策劃上表現(xiàn)出多樣性。
最易遭攻擊的人群是身份信息公開可見的那類。首席級(jí)高管往往不在此列,他們通常不會(huì)在網(wǎng)上暴露身份。但銷售人員、市場(chǎng)營(yíng)銷團(tuán)隊(duì)和人力資源員工,大多都有公開的電子郵箱。已識(shí)別的遭攻擊人員中,36% 的相關(guān)身份可從企業(yè)網(wǎng)站、社交媒體或其他網(wǎng)站上獲取。與之相對(duì),僅 7% 的高管電子郵箱地址可在網(wǎng)上找到。
犯罪機(jī)會(huì),或者說類似 HR[@]company[.]com 這樣的別名郵箱地址,相當(dāng)常見。這種共享的別名郵箱賬戶真的非常難以保護(hù)。
針對(duì)每家公司,攻擊者只要以超過五個(gè)的假冒身份,向五名以上員工實(shí)施攻擊,往往能收獲成功。攻擊正從一對(duì)一轉(zhuǎn)向一對(duì)多,再轉(zhuǎn)向多對(duì)多。攻擊者可能假冒多位高管向員工發(fā)送惡意文件,或者利用一組假冒身份向人力資源部門索要 W-2 報(bào)稅數(shù)據(jù)。
攻擊者用這種策略大獲成功,也就進(jìn)一步加大了冒用身份的數(shù)量和攻擊目標(biāo)人數(shù)。
Carbanak 分析報(bào)告:
https://www.proofpoint.com/us/threat-insight/post/pervasive-social-engineering-characterizes-threat-landscape-proofpoint-releases
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
