最不该轻视的网络攻击—钓鱼邮件

在很多普通用户、甚至网络安全从业者的思考中，钓鱼邮件或假冒网站早已被归类为技术含量低、或已经“过时”的网络攻击手段。但令人惊讶的是，电子邮件网络钓鱼存在了很多年，它们现在仍然是最有效的技术手段之一。这是为什么呢？

 

首先，了解我们与电子邮件的关系非常重要。在当今世界，电子邮件是我们交流的主要方式之一。我们不仅每天都在工作中使用它，而且也用它与我们的朋友和家人保持联系。此外，电子邮件是大多数公司提供在线服务的方式，例如您注册用户邮箱验证或接收银行对帐单。由于全世界有很多人依赖电子邮件，因此它自然成为网络罪犯使用的主要攻击方法之一。

 

钓鱼邮件的攻击者努力使他们的网络钓鱼电子邮件令人信服。例如，他们将使电子邮件看起来像来自您认识的某人，例如您经常与之交流的朋友，工作同事或受信任的公司。例如，网络犯罪分子通常会使用最先进的方法，发送电子邮件或使用与您使用的产品或软件即服务非常相似的域名（例如0nedrive.com）附加恶意应用。他们可能会使用“域名抢注”的方法对您的域名进行仿制，即在合法域名中添加，修改或删除字符（例如，Giantnationalbank.com-> Giantnationalbamk.com）。

 

但这还只是冰山一角！网络犯罪分子利用您会收到大量电子邮件，并且可能没有时间仔细检查收到的每一封电子邮件。他们甚至会使用先进的侦察技术来了解您可能与之交谈的对象，然后利用这种关系欺骗您。最后，当您分心和发生重大危机时，他们会利用这种时刻来欺骗您，例如COVID-19大流行，金融危机，自然灾害等。

 

多种形式的电子邮件网络钓鱼

 

攻击者可以通过多种方式使用网络钓鱼来获取所需的信息：

 

恶意链接：攻击者的目的是破坏您的设备。为此，他们会向您发送包含链接的网络钓鱼电子邮件。如果单击链接，您将被带到一个网站，该网站对您的设备发起攻击，试图利用可能影响您的Web浏览器或Web浏览器组件（例如Flash，Silverlight等）的漏洞。

电子邮件网络钓鱼的示例，其中包括诱骗用户单击链接

 

收集敏感信息：网络犯罪分子的目标是收集您的敏感和个人信息，例如密码，信用卡号或银行详细信息。为此，他们会通过电子邮件向您发送一个链接，该链接会将您重定向到一个看起来合法的网站，该网站看起来与您经常使用的真实网站非常相似。然后，该网站要求您提供的帐户信息或个人数据，将它们发送给攻击者。

仿冒网站仿冒网站的示例，它们镜像Office 365身份验证并使用错别域名（wizlynxgroups.com）

 

恶意附件：攻击者的目标都是相同的，破坏并控制您的设备。但是，这种攻击是通过电子邮件发送感染文件，例如Word或Excel文档，而不是链接。打开附件会就触发攻击，从而导致攻击者可以控制您的系统。

 

电子邮件网络钓鱼的效果如何？

 

2020年，我们进行了许多评估，主要针对钓鱼邮件，结果令人震惊：

• 发送带有附件的电子邮件（例如带有Macro的Excel文件）时，大约35％的目标用户启用了VB Macro。例如，在我们上次运行的广告系列中，有702个用户中有262个用户启用了宏。

• 发送包含超链接的电子邮件时，平均有30％的链接被单击。wizlynx小组进行的最后一次此类活动欺骗了401个用户中的102个，他们单击了指向可能是恶意网站的链接。

• 发送电子邮件将用户重定向到网站镜像时，大约15％的用户提供了用户名和密码。例如，在我们上次运行的活动中，在401个用户有71个输入并向我们的恶意网站提交了他们的用户凭据，因为它们看起来与他们经常使用的网站相似。

 

以下的新闻也很好地表明了电子邮件网络钓鱼的有效性：

• 在2014/2015年，巨大的银行抢劫案（又称Carbanak APT）袭击了多达100家金融机构，总金融损失估计高达10亿美元。攻击者使用带有恶意附件的网络钓鱼电子邮件攻击目标金融机构的员工。

• 2020年，全球网络安全培训和认证SANS Institute的网络钓鱼攻击导致SANS成员28,000条个人信息（PII）记录被盗。

• 根据Verizon的2020年数据泄露调查报告（DBIR），确认的违规行为中有22％包括社交攻击。

 

 

我们应如何防止网络钓鱼邮件？

 

1、我们认为，完全防止电子邮件网络钓鱼是乌托邦。应该采取多层防御方法来限制您的员工成为网络钓鱼的受害者的机会，并减少网络钓鱼攻击的潜在损害。

2、您的内部文档和政策应进行调整，应该向您的员工提供有关如何发现网络钓鱼的电子邮件，如何进行报告以及在与网络钓鱼电子邮件交互的情况下该如何做的信息。很有可能您的一名同事会成为网络钓鱼的受害者，因此，鼓励对事件进行及时举报，确保可以迅速制止和防范攻击。

3、员工应接受适当的教育。进行定期的网络安全意识培训，以及社会工程评估和电子邮件网络钓鱼模拟。

4、应当尽可能使用双因素身份验证。

5、确保您的电子邮件服务器已正确加固以阻止大多数网络钓鱼电子邮件（启用SPF，DKIM，DMARC，设置垃圾邮件过滤器，禁用中继，启用附件限制等）。

6、保持设备更新。这包括浏览器和浏览器组件，例如Flash，Silverlight，Java等。

7、设备应受企业级端点安全解决方案的全面保护，包括反恶意软件，反网络钓鱼，Web控制和防火墙。

8、考虑在来自组织外部的电子邮件的主题或正文中添加警告。

 

威联集团在开发和开展网络安全意识培训和电子邮件网络钓鱼模拟方面拥有丰富的经验。我们的服务依赖于防御和进攻两方面都具有丰富专业知识技能和经验的安全专业人员和渗透测试人员，他们创建切合实际的安全意识培训和网络钓鱼模拟方案。威联集团依靠内部开发的Phishlynx解决方案在社会工程评估和网络钓鱼邮件模拟中为我们提供帮助。

 

如果您想寻求建议以增加安全状况和评估，同时也提高了员工抵御常见网络钓鱼攻击的能力，请与我们联系。