Cloudflare《2023年網絡釣魚威脅報告》
電子郵件是應用最廣泛的商業應用程序,同時也是網絡安全事件的主要初始攻擊途徑,因為其中包含大量的商業機密、個人身份信息(PII)、財務數據和其他對攻擊者有價值的敏感信息。
此外,電子郵件又是最難保護的應用之一。如果保護很簡單,就不會有那么多商業電子郵件妥協(BEC)造成高達500億美元損失的新聞,也不會有那么多某人被釣魚手段騙到并導致入侵的事件。一旦攻擊者成功滲透一個電子郵件賬戶,他們就可以橫向移動并影響各種內部系統。
為了研究關鍵的網絡釣魚趨勢,這一首次發布的Cloudflare《網絡釣魚威脅報告》評估了超過2.79億個電子郵件威脅指標、2.5億封惡意電子郵件、近10億起品牌假冒事件,以及2022年5月到2023年5月期間處理的大約130億封電子郵件中收集的其他數據點,旨在幫助組織更好地應對網絡釣魚威脅。
關鍵數據
- 欺騙性鏈接是網絡攻擊者使用的頭號手段,占威脅總數的6%;
- 電子郵件身份驗證并不能完全阻止威脅。大多數(89%)有害郵件能夠“成功通過”SPF、DKIM或DMARC檢查;
- 攻擊者在其品牌模擬企圖中冒充了超過1000個不同的組織。然而,在大部分(7%)事件中,他們僅假冒了20個全球最大品牌之一。
- 身份欺騙威脅呈上升趨勢,占總威脅指標的比例從去年的3%增長到14.2%(3960萬);
- 被冒充最多的品牌恰好是最受信任的軟件公司之一:Microsoft。其他被冒充最多的公司包括Google、Salesforce等;
- 90%的受訪安全決策者認同釣魚威脅的類型和范圍正在擴大,89%的受訪者對“多渠道”釣魚威脅表示擔憂。
電子郵件威脅分類
攻擊者通常會結合使用社交工程和技術策略,使他們的消息對收件人和收件人的電子郵件系統而言都看似合法。為此,Cloudflare使用了許多先進的檢測技術來分析“模糊”信號(不僅僅是由肉眼可以看到的內容),以識別不受歡迎的電子郵件。這些信號包括:
- 結構分析,包括頭部、正文內容、圖片、鏈接、附件、負載,利用啟發式算法和專門針對網絡釣魚信號而設計的機器學習模型;
- 情緒分析,檢測模式和行為的變化(例如,寫作模式和表達);
- 信任圖譜,評估社交圖譜、電子郵件發送歷史和潛在的合作伙伴假冒。
以下是Cloudflare在2022年5月2日至2023年5月2日期間觀察到的熱門電子郵件威脅指標的快照。研究人員將威脅指標分為30多個不同的類別;在此期間,最主要的威脅指標有欺騙性鏈接、域期限(新注冊的域名)、身份欺騙、憑據收集器和品牌假冒等。
【按威脅類別劃分的占比情況】
頭號威脅:欺詐性鏈接
欺騙性鏈接是第一大電子郵件威脅類別,占檢測結果的35.6%。它也是上一年(2021年5月至2022年4月)的第一大威脅類別,占所有威脅指標的38.4%。
當“認識”的某人發來電子郵件時,點擊其中的鏈接是很自然的行為,尤其是當這封電子郵件很及時且看似合法時。但是點擊錯誤的鏈接可能會導致一些嚴重后果,例如:
- 憑據收集:如果受害者在攻擊者控制的網頁上輸入憑據,就會發生這種情況;
- 遠程代碼執行(RCE):允許攻擊者安裝惡意軟件或勒索軟件,竊取數據,或進行其他惡意操作;
- 網絡破壞:一次無意的點擊就可能導致橫向移動,從而允許攻擊者控制并破壞整個網絡。
案例剖析
這場以DocuSign為主題的SVB(硅谷銀行)釣魚攻擊發生在2023年3月,攻擊者針對多個組織的數十個人發動了攻擊(包括Cloudflare聯 合 創 始 人 兼 CEO Matthew Prince)。郵件中包含一個初始鏈接和一個深達四層的復雜重定向鏈。
如果用戶點擊了“查看文檔”鏈接,攻擊鏈就會開始執行。該鏈接將用戶帶到由Sizmek(亞馬遜廣告服務器)運行的可追蹤分析鏈接,其網址為bs[.]serving-sys[.]com。
然后,鏈接將用戶重定向到托管在na2signing[.]web[.]app域上的Google Firebase應用程序na2signing[.]web[.]appHTML代碼,隨后將用戶重定向到一個運行在eaglelodgealaska[.]com域上的WordPress網站,后者運行著另一個重定向器。經過最后一次重定向后,用戶將被發送到由攻擊者控制的docusigning[.]kirklandellis[.]net網站。
多渠道網絡釣魚的開端可能是一個“無害的”鏈接
研究發現,越來越多攻擊是通過多個通信渠道對用戶發動的——通常最初是一個鏈接。研究人員將此類攻擊稱為“多渠道”網絡釣魚。調查顯示,有89%的安全決策者對多渠道釣魚威脅表示擔憂。
多渠道釣魚攻擊的一個例子涉及“延遲”攻擊,即在電子郵件首次發送時鏈接仍然是無害的。具體操作步驟如下:
- 攻擊者設置基礎設施(例如注冊域名、設置電子郵件身份驗證和創建無害的網頁),為他們未來的釣魚嘗試做準備。在這個節點,電子郵件系統無法檢測到任何攻擊的跡象。
- 攻擊者會從新創建的域名發送一封電子郵件,并在郵件中包含一個鏈接,指向仍然無害的網頁。電子郵件系統不會將其標記為可疑。
- 電子郵件發送后,網頁被“武裝化”,例如通過更新網頁來包含一個虛假的登錄頁面以竊取憑據。
- 開始新一周工作時,員工看到電子郵件。一旦有人點擊鏈接并輸入憑據,攻擊就成功了。
案例剖析
2022年7月,Cloudflare安全團隊收到報告,稱有員工收到了看起來合法的短信,指向一個貌似Cloudflare Okta登錄頁面的網址。短信指向一個看似正式的域名(cloudflare-okta[.]com),但該域名是在釣魚企圖開始前不到40分鐘內注冊的。
如果有人點擊了鏈接,他們將被帶到一個釣魚頁面,該頁面看起來與合法的Okta登錄頁面完全相同(Cloudflare將Okta作為其身份提供者),并提示訪問者輸入其憑據。
最終,如果目標受害者完成在釣魚網站上輸入憑據和基于時間的一次性密碼(TOTP)的步驟,釣魚頁面將開始下載釣魚負載,其中包括AnyDesk的遠程訪問軟件。該軟件一旦被安裝,攻擊者就能遠程控制受害者的設備。
不過好在,Cloudflare并不使用TOTP代碼(相反地,每位員工都配備了符合FIDO2標準的物理安全密鑰)。攻擊者無法繞過其硬件密鑰要求或其SASE平臺:Cloudflare One。
身份欺騙威脅飆升
如今,更多的攻擊使用身份欺騙(假冒某人的身份)——第三大電子郵件威脅類別。2022年2月至2023年5 月2日期間檢測到的威脅中,14.2%含有身份欺騙,較一年前的10.3%大幅飆升。這種攻擊類型有很多形式,包括品牌模擬和商業電子郵件妥協(BEC)。
案例剖析
在2022年美國中期選舉前的三個月內,Cloudflare阻止了大約15萬封發送給競選官員的釣魚郵件。其中一次釣魚嘗試的目標是美國國會候選人的工作人員。
這些工作人員收到了一封主題為“員工工資單審核”的電子郵件,要求他們訪問一個文檔鏈接。該電子郵件包含了正確的電子郵件頁腳和與競選活動一致的品牌標識。
然而,Cloudflare的模型在電子郵件的元數據中發現了幾處不一致,包括一個指向新注冊域名的鏈接。最終,Cloudflare系統阻止了這封電子郵件,從而防止了可能的數據和金錢損失。
全球BEC威脅激增
到現在為止,許多組織已經聽說過商業電子郵件妥協(BEC)——這是一種以財務為動機的特定形式的網絡釣魚。然而,BEC仍繼續造成重大。原因在于它不依賴于欺騙性鏈接或惡意附件,而是利用對收件人的電子郵件行為和商業流程的深入了解。這種知識也可以延伸到破壞目標的可信供應鏈和合作伙伴。
例如,BEC攻擊中可能使用的帳戶入侵,即攻擊者實際控制了某個用戶的電子郵件賬戶。如果是某個合作伙伴的電子郵件賬戶,則被稱為“供應商電子郵件破壞”(VEC)。被入侵的帳戶可以針對其他人進行攻擊,因為來源并沒有改變。
想象一個信任了一段時間的供應商:您經常給他們發郵件,討論項目,甚至他們的周末計劃。然后,有一天,您支付了一張“假”發票——它在各方面看起來都像過去的發票,僅銀行代碼改變了。這是因為攻擊者已經在您的電子郵件帳戶中“潛伏”數周,甚至數月。
雖然BEC威脅在總檢測量中占比并不高(0.5%),但研究人員認為,這是由于現在的技術可在攻擊周期中更快地識別這些威脅,例如,在攻擊者有機會發送欺詐性發票以轉移付款之前。
數據顯示,那些未能阻止企業電子郵件破壞(BEC)的組織將面臨比以往更大的財務損失:
- 損失超過500億美元:自2013年10月至2022年12月,BEC在國內和國際上造成的總損失超過500億美元;
- 增長17%:2021年12月至2022年12月,全球范圍內已知因BEC造成的損失增長了17%;
- 代價超過勒索軟件:在2022年,勒索軟件相關投訴共計2,385起,損失超過3430萬美元,而涉及BEC的投訴共計21832起,損失超過27億美元;
- 71%的組織:在2022年,71%的組織至少經歷過一次嘗試或實際的BEC攻擊
品牌模擬威脅
在2022年5月至2023年5月期間,我們觀察到在針對Cloudflare客戶的電子郵件中約有1,000個不同的品牌遭到冒充。以下為攻擊者最常假冒的全球20大知名品牌:
案例剖析
今年初,Cloudflare發現并阻止了一個利用微軟品牌的網絡釣魚活動,該活動試圖通過一個合法但被入侵的網站獲取憑據。
在下面的電子郵件示例中,盡管電子郵件呈現了文字,但正文中卻沒有任何文本。整個正文是一個超鏈接的JPEG圖像。因此,如果收件人點擊了正文中的任何地方(即使他們并不打算點擊鏈接),他們實際上就是在點擊鏈接。
最初,該圖片的超鏈接似乎是一個良性的百度URL——hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是,如果點擊此鏈接,目標的瀏覽器就會被重定向到一個已被入侵并用于托管憑據收割機的網站。
攻擊者使用了Microsoft Office 365品牌,但試圖通過在圖片中包含品牌信息來規避任何品牌檢測技術(即沒有可供檢查以識別該品牌的明文或HTML文本)。
不過,Cloudflare使用光學字符識別(OCR)成功識別出了圖片中的“Office 365”和“Microsoft”。我們還利用OCR識別了與密碼有關的可疑賬戶誘餌。
在本例中,攻擊者的技巧包括:
- 只包含JPEG圖像(沒有OCR就無法檢測到文字);
- 在該圖片中嵌入一個超鏈接(點擊正文中的任何位置都將導致點擊該鏈接);
- 超鏈接到百度URL(用于繞過基于信譽的URL檢測技術);
- 百度URL將收件人的瀏覽器重定向到一個憑據收集器網站(即可以規避其他無法進行深度鏈接檢查的電子郵件安全防御系統);
- 在已遭到攻擊者入侵的合法網站上托管憑據收集器(即使使用深度鏈接檢測,也會再次嘗試繞過基于信譽的URL檢測技術);
這種攻擊手段利用了百度的高信譽和真實性,繞過了托管憑據收集器的真實主機/IP的信譽。
雖然此次特定活動的重點是獲取微軟憑據,但研究發現攻擊者經常使用類似方法繞過品牌檢測技術,誘騙受害者下載惡意軟件和其他惡意有效負載。
網絡釣魚活動中經常會出現URL重定向技術,但威脅行為者會濫用越來越多的合法域名(如 baidu.com、bing.coml等),從而不斷改進其方法。
品牌模擬騙過常見電子郵件防御措施
電子郵件身份驗證(特別是SPF、DKIM和DMARC標準)是經常提到的可以有效防止品牌假冒的手段:這些標準有助于驗證服務器和租戶的來源、保護信息完整性、提供策略執行等。
然而,攻擊者仍然可以找到繞過身份驗證的方法來欺騙電子郵件套件;數據顯示,89%不受歡迎的郵件“通過了”SPF、DKIM 和/或 DMARC 檢查。
電子郵件身份驗證的一些優勢和局限性包括:
結論和建議
攻擊者的戰術正在不斷更新變化。在郵件到達收件箱之前、期間和之后,必須實施多重保護。
所有組織都應將零信任的“永不信任,始終驗證”安全模式不僅推廣到網絡和應用程序,還要擴展到電子郵件收件箱。
除了使用零信任方法確保電子郵件安全外,安全專家還建議:
1. 通過多種反釣魚措施來增強云電子郵件
跨多個設備使用消息傳遞、協作、文件共享和企業軟件即服務應用程序都有助于提高員工的工作效率和體驗。許多這樣的環境都認定成“封閉的”,但如果一個仿冒供應鏈合作伙伴憑據的網絡釣魚攻擊成功,就會使組織面臨數據丟失、憑據被盜、欺詐和勒索軟件攻擊。為電子郵件收件箱開發的保護措施必須覆蓋到這些環境,并貫穿員工的日常工作流程。
2. 采用防網絡釣魚的多因素身份驗證(MFA)
雖然并非所有多因素身份驗證都能提供相同的安全層,但硬件安全密鑰是防止網絡釣魚攻擊成功的最安全身份驗證方法之一。即使攻擊者獲得了用戶名和密碼,這些密鑰也能保護網絡安全。
3. 降低人類犯錯率
讓員工和團隊使用的工具更加安全,防止他們出錯,從而滿足他們的需求。例如,遠程瀏覽器隔離(RBI)技術與云電子郵件安全集成后,可以自動隔離可疑的電子郵件鏈接,防止用戶接觸到潛在的惡意Web內容。在不受信任的網站上,鍵盤輸入也可以進行禁用,以保護用戶避免在填寫表格時意外輸入敏感信息或憑據而遭到竊取。這可以有效地允許用戶不用中斷他們的工作流程即可安全地打開鏈接,為抵御多渠道網絡釣魚攻擊提供了一層防御。
4. 建立多疑但不責難的文化
鼓勵開放、透明的“發現問題、及時報告”方式,與IT和安全事件響應團隊進行全天候合作,有助于讓每個人參與到網絡安全工作中來。遭到攻擊時,每分鐘都很重要。建立一個多疑但不責難的文化,提前并經常報告可疑活動,以及真實的錯誤,有助于確保事件(無論多么罕見)能夠盡快得到報告。
原文鏈接:https://blog.cloudflare.com/2023-phishing-report/
