穿越小说完本 ,魔天记忘语小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

釣魚攻擊之猖獗程度已達歷史新高的十項理由

【.com 快譯】冒充尼日利亞王子之類的伎倆早已過時——如今釣魚欺詐活動已經(jīng)成為極為復(fù)雜的業(yè)務(wù)體系，即使是最具經(jīng)驗的安全專家都有可能被其騙倒。

幾十年來，網(wǎng)絡(luò)釣魚郵件已經(jīng)成為計算機領(lǐng)域中的一大安全禍根，當然我們也使出了渾身解數(shù)、努力將其扼殺在搖籃當中。時至今日，大多數(shù)普通用戶已經(jīng)能夠通過標題行意識到其邪惡本質(zhì)，并在發(fā)現(xiàn)之后直接將其刪除。而如果大家無法完全確定其性質(zhì)并將其打開，那么其中過于正式的問候方式、詭異的國外發(fā)送地址、拼寫錯誤、荒謬到無法形容的獎勵內(nèi)容描述乃至過于殷勤的產(chǎn)品推銷言辭都能夠讓我們立刻發(fā)現(xiàn)其背后潛伏著的危險因素，而這次釣魚活動也將在我們按下刪除鍵的同時宣告破產(chǎn)。

然而更進一步來講，無數(shù)真實案例已經(jīng)證明，有針對性的釣魚行為目前仍然相當有效，即使是最具經(jīng)驗的安全專家亦有可能被其騙倒。為什么會這樣?因為這類釣魚郵件由專業(yè)人士所精心設(shè)計，他們似乎了解目標受害者的業(yè)務(wù)內(nèi)容、當前工作項目以及感興趣的方向。他們不會用中獎通知或者獎品發(fā)放之類拙劣的手段達成目標。事實上，如今的網(wǎng)絡(luò)釣魚在效果設(shè)計上已經(jīng)不再限于簡單的經(jīng)濟詐騙。

在今天的文章中，我們將分步了解目前最為先進的網(wǎng)絡(luò)釣魚活動，并分析我們該如何避免墜入由其精心布置的陷阱。

攻擊活動由專業(yè)犯罪分子精心布置

從傳統(tǒng)角度講，網(wǎng)絡(luò)釣魚郵件一般是由那些技術(shù)水平不高、寄希望于老套惡意手段的低端騙徒所制作：這類群體往往會隨意接著出一封草率的郵件，其內(nèi)容有時候甚至愚蠢到令人無法直視。但從實際層面來講，這種釣魚嘗試也有自己的一套理論，畢竟只有那些會被這種低劣手段騙倒的對象，才有可能會在后續(xù)欺詐過程中遭受更加嚴重的損失。

不過網(wǎng)絡(luò)釣魚活動目前已經(jīng)開始出現(xiàn)轉(zhuǎn)變。相當一部分專業(yè)犯罪分子以及有組織的犯罪集團意識到發(fā)送高質(zhì)量的釣魚郵件能夠獲得相當可觀的經(jīng)濟收益。由Brian Krebs撰寫的2015年暢銷書《垃圾王國》就追蹤了來自俄羅斯的多個專業(yè)犯罪團伙的崛起之路，這幫家伙每年能夠獲得數(shù)千萬美元收益，并受到多家大型企業(yè)的支持——其中部分企業(yè)甚至以合法的身份在證券交易所掛牌上市。

而接下來各國政府也開始參與其中，他們意識到只要能夠瞄準合適的攻擊對象，那么其經(jīng)過精心偽裝的郵件將能夠幫助其輕松繞開固若金湯的安全防御體系。就目前而言，大部分高級持續(xù)性威脅(簡稱APT)都是通過發(fā)送電子郵件而在受害組織機構(gòu)當中獲得初步立足點的。

今天的專業(yè)互聯(lián)網(wǎng)犯罪分子們也過著朝九晚五的正常生活，他們按時繳稅并享受輕松的周末與法定節(jié)假日。他們所效力的企業(yè)通常擁有數(shù)十到數(shù)百名員工，向當?shù)貓?zhí)法部門及政客行賄，并常常被視為所在地區(qū)的理想就業(yè)選項。而且在為這類公司工作時，攻擊他國目標的行為往往被自豪地打上“愛國”的標簽。

這些專業(yè)黑客們采用相當正規(guī)的工作方式。其擁有由領(lǐng)導(dǎo)層帶隊的市場營銷渠道，旨在尋找那些愿意出錢竊取特定企業(yè)有價值信息的客戶。當然，他們也會定期自主攻擊任意受害企業(yè)，并將由此獲取到的信息作為商品在市場上兜售。

而研究與監(jiān)測小組則負責收集與目標公司相關(guān)的組織結(jié)構(gòu)、業(yè)務(wù)伙伴、可訪問服務(wù)器、軟件版本以及當前項目等重要信息。通過訪問目標企業(yè)的公眾網(wǎng)站并著眼于其防御手段相對薄弱的合作伙伴，黑客們能夠較為輕松地獲取到上述籌備信息。

上述調(diào)查結(jié)果將被交付至初步攻擊團隊，并由后者在目標組織內(nèi)部建立入侵著陸點。該團隊正是整個犯罪體系當中最為重要的組成部分，其通常被劃分為幾個技術(shù)水平較高的分組，每個分組專注于突破特定領(lǐng)域：包括入侵服務(wù)器、發(fā)動客戶端攻擊、執(zhí)行社交工程攻擊或者實施網(wǎng)絡(luò)釣魚攻擊。而網(wǎng)絡(luò)釣魚團隊將與調(diào)查團隊聯(lián)手，通過配合制定與受害者當前項目及業(yè)務(wù)議題相關(guān)的電子郵件模板。

當然，還有其它一些團隊與之進行配合。后門團隊在初步入侵完成后跟進，旨在通過植入后門木馬、創(chuàng)建新用戶賬戶以及在受害組織內(nèi)部收集登錄憑據(jù)等方式確保自身繼續(xù)保持對目標的后續(xù)入侵能力。

接下來，與任何一家出色的咨詢服務(wù)公司一樣，攻擊方會派遣一支長期團隊專門應(yīng)對該“客戶”。這支隊伍駐扎在受害者內(nèi)部獲取重要信息以及與組織結(jié)構(gòu)及VIP相關(guān)的細節(jié)內(nèi)容。他們能夠在很短時間內(nèi)摸清目標企業(yè)的現(xiàn)有防御系統(tǒng)特性，并了解如何加以回避。當有新型項目或者大規(guī)模數(shù)據(jù)上線時，該團隊會首先了解到相關(guān)情況。任何可能有價值的信息都會被復(fù)制下來并加以保管，這就做好了其今后進行批量銷售的基礎(chǔ)準備。

很明顯，這一切都與以往那些由腳本小子們在網(wǎng)吧里弄出來的邋遢釣魚郵件完全不同，正因為如此如今的釣魚攻擊更加富有成效。這些郵件的制造者擁有流水線級別的組織體系，而且他們也得通過面試，領(lǐng)取正規(guī)的薪酬、福利以及項目獎金。另外，惡意組織甚至還要求成員簽訂保密協(xié)議，并擁有專門的人力資源管理團隊以及各部門間政治協(xié)調(diào)等機制。

所以千萬不要掉以輕心：釣魚郵件已然實現(xiàn)了專業(yè)化轉(zhuǎn)型。

攻擊可能源自我們認識的人

如今的網(wǎng)絡(luò)釣魚郵件往往是由那些我們平日里能夠接觸到的人們所發(fā)出，而非什么“尼日利亞王子”。具體來講，釣魚郵件發(fā)送者可能顯示為我們的頂頭上司、團隊領(lǐng)導(dǎo)或者其他一些權(quán)威管理者，也只有這樣惡意人士才能確保受害者打開電子郵件，并依照郵件中的具體內(nèi)容行事。

這些郵件可能源自外部，并通過偽裝讓受害者誤以為其來自某位企業(yè)高管的個人郵箱賬戶。畢竟我們每個人在日常工作當中，都或多或少收到過某位同事不小心使用自己個人郵箱賬戶發(fā)出的工作信件。所以在面對這種普遍存在的失誤時，我們一般不會聯(lián)想至其屬于攻擊活動的重要組成部分。

這類郵件可能會來自某個我們耳熟能詳?shù)闹髁鞴娻]件服務(wù)器(例如Hotmail或者Gmail等等)，而發(fā)件人會自稱其之所以使用這個此前未見的賬戶，是因為其暫時無法順利登錄自己的工作郵箱——同樣的，我們也都遇到過這類狀況，對吧?

不過在相當一部分情況之下，這些偽造的釣魚郵件確實來自其他同事的真實工作郵箱地址——這可能是因為釣魚攻擊組織已經(jīng)能夠從外部成功偽造郵件的原始地址，也有可能是其已經(jīng)順利獲取到了員工的個人郵箱賬戶。而后者是目前較為常見的一種攻擊方式——畢竟咱們普通員工肯定會認真查看老板發(fā)來的郵件，而在點擊鼠標的一剎那、大家已經(jīng)中招了。

攻擊中涉及我們當前正在進行的項目

很多網(wǎng)絡(luò)釣魚受害者之所以踏入陷阱，是因為攻擊者似乎確切了解他們當前正在處理的工作內(nèi)容。這是因為網(wǎng)絡(luò)釣魚者們已經(jīng)用了很長時間來進行研究，或者已經(jīng)控制了某些企業(yè)同事們的郵箱及郵件內(nèi)容。總而言之，釣魚郵件中可能包含“此為你一直在申請的XYZ報告”或者“我將你發(fā)來的報告進行了整理，結(jié)果如下”等極具誤導(dǎo)性的標題，而郵件還有著發(fā)送者添加的報告副本鏈接——不過請當心，其已經(jīng)被替換成了會自動執(zhí)行的惡意鏈接。另外，釣魚郵件中還可能探討某個項目的可行性，例如提問“你認為這些因素是否會對我們的項目造成影響?”或者“其它企業(yè)已經(jīng)搶先一步實現(xiàn)了同樣的功能!”，而接下來仍然是被偽裝成該項目相關(guān)報道文章的惡意鏈接。

我曾經(jīng)發(fā)現(xiàn)過某些釣魚郵件號稱由律師發(fā)出，旨在征集個人意見以支持兒童在父母離婚案件當中的影響能力。我還見過一些釣魚郵件發(fā)自某些專業(yè)機構(gòu)的領(lǐng)導(dǎo)者，且直接面向其下屬的團隊成員。另外，還有一些由企業(yè)高管人士發(fā)出的釣魚郵件宣稱目前存在尚未解決的訴訟案件，要求接收者對對應(yīng)的高度機密PDF文件進行“解鎖”。除此之外，我甚至見過一些偽裝成由安全專家發(fā)出的釣魚郵件，其中指出郵件內(nèi)包含的是接收者最近剛剛購買并安裝的某款產(chǎn)品的最新安全更新，要求目標受眾盡快進行查看。

這些釣魚郵件的標題與主體內(nèi)容已經(jīng)不再是過去那種老套的“快來看!”。不，如今的釣魚郵件往往來自我們認識的人且包含準確的生活及工作相關(guān)信息，而這一切都極大提高了其可信度。在了解到這一切后，我們真的希望能夠回到過去——回到那個惡意郵件內(nèi)充斥著親屬虛假身故消息與偉哥廣告的時代。

攻擊者已經(jīng)在不斷監(jiān)視我們的企業(yè)郵件

最近一段時間，有組織的攻擊者們開始對企業(yè)中的大量郵件賬戶進行持續(xù)監(jiān)視。通過這種方式，他們得以獲取到必要的背景信息，從而更加順利地愚弄企業(yè)員工并了解到那些最敏感且最具價值信息的來源、傳遞方式及保存位置。

如果大家發(fā)現(xiàn)自己所在的企業(yè)已經(jīng)遭到侵入，那么請首先假設(shè)所有高管成員以及VIP郵箱賬戶都已經(jīng)被突破，且受到了長時間的監(jiān)視。甚至針對惡意人士的初步檢測報告也有可能已經(jīng)被他們所發(fā)現(xiàn)——總而言之，假定他們已經(jīng)掌握了我們所擁有的一切信息。

當面對這種對手時，惟一的解決方案就是建立起一套“徹底獨立出去”的網(wǎng)絡(luò)體系，其中包括全新計算機以及新的郵件賬戶。除此之外，任何抵抗工作都可能是在浪費時間。

攻擊者能夠根據(jù)需要攔截并篡改電子郵件內(nèi)容

如今我們的對手已經(jīng)不再只是被動的信息獲取者。他們在必要情況下，甚至有能力攔截并篡改電子郵件的具體內(nèi)容——雖然只能在一定程度進行篡改，但已經(jīng)非?？膳?。有時候他們能夠?qū)⑧]件中的肯定意見修改為否定，或者將否定意見修改為肯定。此外，他們能夠添加更多收件人，對郵件分組進行調(diào)整，甚至關(guān)閉信息加密以及簽名機制。

根據(jù)我的經(jīng)歷，最臭名昭著的實例之一就是某家公司已經(jīng)意識到其受到高級持續(xù)性威脅的嚴重入侵。在某次嘗試光復(fù)網(wǎng)絡(luò)環(huán)境的行動當中，其幫助臺發(fā)送了一封電子郵件，要求每位收件人對其密碼內(nèi)容進行修復(fù)。當然，這肯定會增加惡意入侵者的登錄難度——除非其已經(jīng)控制了幫助臺自身的電子郵箱賬戶。在發(fā)送這封電子郵件之前，入侵者修改了其中的嵌入式鏈接，從而使其獲取到了來自用戶密碼內(nèi)容的副本——換言之，一輪密碼變更導(dǎo)致公司上下的所有賬戶都被入侵者所掌控。是的，用戶們積極遵循著“幫助”臺的指引，但卻反而讓入侵者捕捉到了每條變更密碼的具體內(nèi)容。

攻擊者利用定制化或者內(nèi)置工具破壞殺毒軟件

過去幾十年來，釣魚郵件一直利用常見的惡意工具作為輔助手段。然而如今惡意人士開始采用定制化工具來偽造并加密自己的邪惡意圖，或者將程序內(nèi)置在受害者所使用的操作系統(tǒng)當中。由此帶來的結(jié)果非常明顯：我們的反惡意掃描工具無法檢測到這些惡意文件或者命令。而當犯罪團伙入侵到我們的網(wǎng)絡(luò)內(nèi)部之后，他們也會非常謹慎地利用同樣的方式進一步完成滲透。

利用受害者內(nèi)置腳本語言(例如PowerShell以及PHP等等)編寫而成的惡意腳本已經(jīng)快速成為攻擊者們的首選方案之一。PowerShell甚至直接出現(xiàn)在了惡意軟件工具包當中，這最終使得純PowerShell型惡意程序成為可能。

而進一步助長這類趨勢的現(xiàn)實情況在于，我們很難利用反惡意軟件甚至是司法取證方式來檢測某款合法工具是否被用于實現(xiàn)邪惡意圖。舉例來說，遠程桌面協(xié)議(簡稱RDP)連接就是非常典型的代表。幾乎每一位管理員都會使用這項協(xié)議，惡意人士也是同樣。在這種情況下，我們將很難證實特定遠程桌面協(xié)議連接到底是否在實施邪惡的勾當。不僅如此，我們也幾乎沒辦法在不影響正常員工常用工具的前提下，通過移除合法工具來清理系統(tǒng)并挫敗攻擊者的陰謀。

攻擊者通過軍用級加密技術(shù)對受害者數(shù)據(jù)進行傳輸

利用隨機選定的端口將數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)中復(fù)制出去的時代已經(jīng)過去了。同樣的，如今攻擊者們也不再通過常見的保留端口(例如IRC端口6667)以遠程方式進行命令發(fā)送與惡意控制創(chuàng)建。

如今利用SSL/TLS端口443作為惡意程序工作面已經(jīng)成為業(yè)界共識，其同時還會配合軍用級別的AES加密機制。大部分企業(yè)都很難對端口443流量進行追蹤，其中相當比例甚至壓根不會嘗試。如今企業(yè)越來越多地利用防火墻以及其它網(wǎng)絡(luò)安全設(shè)備對入侵者的443數(shù)字證書加以替換，從而實現(xiàn)443流量獲取。不過當443流量中的數(shù)據(jù)經(jīng)過了AES加密，那么取證工作將基本宣告失敗。這雖然令人無奈，但卻也是殘酷的現(xiàn)實。

惡意軟件編寫者對于標準化加密機制的運用可謂爐火純青，甚至連FBI方面都會直接建議勒索軟件的受害者們直接付款來解決問題。事實上，如果大家發(fā)現(xiàn)某款惡意程序運行在非443端口之上且沒有經(jīng)過AES加密來掩蓋其行蹤，那么其始作俑者很可能只是一位技術(shù)水平低下的腳本小子。另外，即使我們找出了這類安全隱患，其恐怕也已經(jīng)在大家的系統(tǒng)當中駐留了相當長的一段時間。

攻擊者會努力掩蓋自己的行蹤

直到幾年之前，大多數(shù)企業(yè)還完全不必對自己的日志文件太過重視，或者說即使進行處理，他們也不會進行刻意收集并對其中的可疑事件發(fā)出警告。不過時代已經(jīng)不同，如今IT防御者們?nèi)绻麤]能啟用日志檢查并將其納入日常工作，那么將被視為一種嚴重的失職。

惡意人士能夠利用各類技術(shù)，例如命令行與腳本命令，對日志記錄加以應(yīng)對，從而顯著降低其被事件日志記錄工具發(fā)現(xiàn)的可能性。其甚至有可能直接在肆虐之后將日志文件全部刪除。一部分水平高超的攻擊者還會利用工具包程序，從而通過對操作系統(tǒng)的惡意篡改來跳過包含其惡意工具執(zhí)行痕跡的一切實例。

攻擊者已經(jīng)在我們的環(huán)境當中潛伏多年

專業(yè)犯罪團伙潛伏在受害者網(wǎng)絡(luò)內(nèi)部的平均時間——也就是從入侵成功到被發(fā)現(xiàn)的時長——通常為數(shù)個月甚至數(shù)年。我接觸過的一些企業(yè)就面臨著這樣的狀況，其內(nèi)部環(huán)境已經(jīng)遭到多個犯罪組織的侵入，而潛伏期最長的一個已經(jīng)在這里游蕩了八年。

根據(jù)權(quán)威性極高的《Verizon數(shù)據(jù)泄露調(diào)查報告》所言，大部分內(nèi)部數(shù)據(jù)泄露事故都是由外部合作方首先發(fā)現(xiàn)的。在大多數(shù)情況下，這是因為外部合作方自身也已經(jīng)遭到到多年入侵，而在其取證調(diào)查過程中發(fā)現(xiàn)其數(shù)據(jù)、攻擊者位置或者中繼點來源于另一家公司。

我曾經(jīng)向多位客戶提供過咨詢服務(wù)，他們紛紛表示惡意人士已經(jīng)在其網(wǎng)絡(luò)內(nèi)部肆虐多年，甚至惡意軟件的植入已經(jīng)成為該公司習以為常的狀況——每一臺新計算機在引入后都會瞬間染上惡意軟件。我還見過一些木馬以及惡意程序多年來一直隨意傳播，因為IT人員始終認為其屬于組織內(nèi)部某些部門的必要軟件組件。好吧，這種愚蠢的假設(shè)肯定是黑客們的最愛。

攻擊者根本不怕東窗事發(fā)

曾幾何時，釣魚攻擊者會快速潛入我們的企業(yè)，竊取資金或者重要信息，而后立刻人間蒸發(fā)。快進、快出，盡可能縮短作案時間，這意味著其被捕獲、識別以及起訴的可能性也會被降至最低。

如今的攻擊者往往身處國外，在那里我們的法律管轄權(quán)以及定罪權(quán)全部無法生效。我們甚至可以利用法律證據(jù)來揪出黑客犯罪團伙、其中的成員乃至他們活動的物理位置——但也就這樣了，我們的執(zhí)法權(quán)對他們根本不起作用。

在過去十年我所經(jīng)歷過的大多數(shù)攻擊活動當中，黑客們即使被發(fā)現(xiàn)了也不會掙扎逃脫。當然，他們會盡量避免自己被抓獲，但一旦東窗事發(fā)，他們只會更公然、更囂張地組織入侵——我們的現(xiàn)有制裁手段在他們面前真的非常無力。

時至今日，在這場貓鼠游戲當中，老鼠一方已經(jīng)徹底了全部主動權(quán)。起初我們意識不到他們的侵入活動，也不清楚他們能夠以多少種方式實現(xiàn)突破——畢竟安全事故的源頭很可能只是某位員工不小心打開了惡意郵件。而最終，即使我們掌握了一切證據(jù)，仍有很大機率只能自認倒霉。

我們能夠做些什么

防范工作需要先以培訓(xùn)起步，即教育員工關(guān)于網(wǎng)絡(luò)釣魚攻擊的最新現(xiàn)實情況。相信每個人都已經(jīng)了解到那種充斥著大量拼寫錯誤以及不切實際的獎勵承諾的老套釣魚郵件，但現(xiàn)在這已經(jīng)不再是我們的關(guān)注重點。我們要向員工解釋新型釣魚郵件的精妙之處，告訴他們專業(yè)犯罪團伙很清楚該如何調(diào)整自己的攻擊手段，從而讓惡意郵件看起來就像由同事等受信對象發(fā)來的合法信息一樣。

接下來，員工應(yīng)當意識到在其點擊并運行郵件內(nèi)可執(zhí)行文件或者打開任何未知文檔之前，必須首先進行單獨確認(例如通過電話或者即時通信機制)。如今快速確認已經(jīng)應(yīng)該成為盡職性調(diào)查的必要組成部分。另外，提醒員工在發(fā)現(xiàn)任何可疑狀況時及時匯報。如果他們不小心做出了任何事后看起來較為可疑的操作，那么也需要馬上向技術(shù)部門發(fā)出通知。最重要的就是從心理層面消除員工在被愚弄之后產(chǎn)生的恥辱感與尷尬心態(tài)。要讓他們知道，任何人——包括經(jīng)驗豐富的安全專家——都有可能被欺騙，這一切都要歸結(jié)于當下極端復(fù)雜的攻擊手段。

很多企業(yè)正在積極通過模擬網(wǎng)絡(luò)釣魚對員工的應(yīng)對能力進行測試。不過需要提醒各位的是，這些測試應(yīng)該盡量使用復(fù)雜度更高的郵件模板，而非過去那樣拙劣不堪的老套路。另外，我們還需要對個別員工進行針對性測試，從而將易受愚弄的員工比例控制在較低水平。通過這種方式，員工將能夠在面對任何要求其提供登錄憑證或者程序執(zhí)行權(quán)限時首先向技術(shù)部門詢問?？偠灾?，讓員工在面對合法郵件時也保持懷疑的態(tài)度將標志著我們的培訓(xùn)已經(jīng)取得了喜人的進度。

最后，如果已經(jīng)有網(wǎng)絡(luò)釣魚攻擊在企業(yè)內(nèi)部成功起效，那么請利用該釣魚郵件以及受害員工的證詞(如果他們值得信任且愿意作證的話)來幫助其他企業(yè)更深刻地理解當下的網(wǎng)絡(luò)釣魚環(huán)境。任何能夠帶來新啟示以及新經(jīng)驗的經(jīng)歷都值得在各行業(yè)當中廣泛共享。

總結(jié)起來，要想真正抵御住日益演進的入侵行為，我們必須讓企業(yè)中的每位成員意識到如今的網(wǎng)絡(luò)釣魚郵件在表現(xiàn)形式上已經(jīng)完全不同于以往。與時俱進、緊跟形勢，這才是最理想的攻擊應(yīng)對之道。

原文標題：10 reasons why phishing attacks are nastier than ever

【譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為.com】

網(wǎng)頁題目：釣魚攻擊之猖獗程度已達歷史新高的十項理由
標題路徑：http://www.fisionsoft.com.cn/article/coejphs.html

新聞中心

其他資訊