當前位置：首頁>電腦故障 > 2020年最狡猾電子郵件攻擊

2020年最狡猾電子郵件攻擊

來源：番茄系統(tǒng)家園瀏覽：時間：2022-03-24 10:21:04

文章转载自微信公众号“数世咨询”(dwconcn)。

鬼祟无下限。应警惕能瞒过常规验证方法的狡猾网络钓鱼邮件。

2020年最狡猾电子邮件攻击

去年，网络罪犯以多种创新方式滥用电子邮件实施网络攻击，“战果颇丰”。用户收件箱被塞满藉由病毒恐惧情绪诱骗点击钓鱼链接的邮件。各类账户被盗，公司企业对供应商的信任惨遭攻击者利用。常规验证检查措施失效，可疑邮件大量潜入。攻击者将域名当成用后即弃的一次性物品：短暂使用后就抛弃，不给安全工具留出标记为恶意站点予以打击的机会和时间。

没错，新冠肺炎疫情肆虐的2020年也是电子邮件攻击狂欢的一年。但其中哪些攻击最为突出呢?

Darktrace电子邮件安全产品总监DanFein描述了他心目中2020年最“成功”的电子邮件攻击，均为该公司AI电子邮件工具Antigena检测出来的。下面我们就来看看都有哪些攻击收获了这份“殊荣”：

1.藏匿雪中

对希望逃避隔离的滑雪爱好者而言，提供VailResorts雪场门票的电子邮件简直无法拒绝。然而，禁不住诱惑的结果就是沦为凭证盗窃攻击的受害者。

邮件中的网络钓鱼链接似乎指向VailResorts滑雪度假村公司，然后重定向至其合法订票服务及合作伙伴公司Snow.com。然而，这些都只是表象。

2020年最狡猾电子邮件攻击

图：可疑参数藏在末端的链接

注意URL末尾的“p1”参数。攻击者实际上会将受害者带到s-ay.xyz上的虚假登录页面。而且，为了伪装得更像，虚假登录页面甚至在“username”(用户名)字段预先填入了受害者的电子邮件地址。由于URL实在是太长了，即使熟悉安全的用户在点击之前悬停检查了超链接目的地址，也很可能只看到一个被截断了的URL，没机会看到末端那个可疑的参数。

Fein称：“很多安全产品都不会检测，因为vailresorts.com名声清白。我觉得这很有意思，因为只要你以特定方式查看这一链接就能发现这些东西。你会意识到这个链接不寻常，因为里面隐藏了重定向。”

2.通过SPF潜入

Fein表示：“每次SPF(发送方策略框架)或DKIM(域名密钥识别邮件)等验证检查表明邮件是从预期基础设施发来时，我们的客户都觉得‘哎呀，SPF通过了，DKIM通过了，这邮件难道还不是良性的?’但在我们看来，这还真不是。你得保持戒备之心。”

举个例子：据称发自目标公司IT部门的邮件，链向微软Office表单。Office365登录页面还预载了用户的电子邮件地址。邮件通过了SPF和DKIM验证检查。

但是，Darktrace检测到，这封邮件很可能发自被黑账户。(不仅仅是因为邮件文本中包含“点击密码”这种语法奇怪的短语。)

Fein引用了几个潜在异常上下文的案例，并表示：“Antigena会检查上下文。比如，通常来自Outlook的邮件突然换成了出自Python脚本。或者只要看看邮件的用户代理(UserAgent)：一切看起来好像自动化了。要不然就看基础设施：尽管来自Outlook，却是发自非预期的国家。”

3.令人大倒胃口的链接

还有一种邮件，号称来自IT支持服务，但根本毫无帮助。攻击者在发件人名称里嵌入了一些非拉丁字母。(有些攻击者现在会使用隐藏文本，也就是在电子邮件字母之间加入不可见字符，避免“helpdesk”(技术支持)或“passwordexpired”(密码过期)这样的词句触发电子邮件防御机制。)

邮件本身是无伤大雅的，附件也相对无害。但附件里的超链接就成问题了。这种链接很可能号称链向在线餐厅预订服务，但实际上却是通往恶意网站。

Fein表示，Darktrace能根据风险严重程度执行一系列针对性操作：重定向可疑链接、完全剪掉可疑链接、滤掉邮件中的附件，或者阻止整封邮件。

“仅仅因为附件里有可疑的东西，不代表你得完全阻止整个附件，但在这种情况下，确实应该完全阻止。”

4.假冒电子邮件网关