最近,收件箱遭到了所谓的“航空公司钓鱼攻击”。“这是对旧钓鱼邮件的新看法。它使用多种技术来捕获敏感数据和部署高级持久威胁(APT)。
Barracuda Networks的几个客户都遭遇了这种攻击,尤其是在物流、航运和制造等涉及频繁货物运输或员工旅行的行业。攻击者会伪装成旅行社,甚至是发送机票或电子机票的人力资源或财务部门的员工。电子邮件将被设计成不显眼的样子。
据梭子鱼报道,攻击者会研究他的目标,选择航空公司、目的地和价格,这样在公司和收件人的背景下,这些细节看起来是合法的。让员工打开电子邮件后,嵌入电子邮件附件的APT就会开始工作。附件的格式通常为PDF或DOCX文档。在这种攻击中,恶意软件将在打开文档时执行。
Barracuda的分析显示,攻击者在90%的情况下都能成功让员工打开这些邮件并部署恶意软件。
该公司还观察到一些攻击,其中包括一个钓鱼网站的链接,该网站旨在从受害者那里获取敏感数据。本钓鱼网站将模仿航空公司网站设计,或模仿公司使用的费用或旅行系统。该过程中的这一步旨在欺骗受害者在站点上输入企业证书。攻击者捕获凭证并使用它们渗透到公司网络和公司内部系统,如数据库、电子邮件服务器和文件服务器。
“电子邮件安全是一个充满活力的市场。电子邮件安全系统需要应对日益动态化和有针对性的威胁。市场正在从依赖于许多客户看到了同样的病毒或垃圾邮件,给学习和适应的攻击动态基于机器学习系统的静态基于规则的方法移动。未来的电子邮件安全系统将需要学习每个客户的环境,并找到在实时异常,”阿萨夫Cidon,梭子鱼在内容安全服务副总裁。
根据一Agari / ISMG研究在过去的一年中,89%的受访者认为网络钓鱼和其他有针对性的电子邮件攻击正在稳步增长或呈上升趋势。
格兰特推脱,在数据安全提供维拉的营销副总裁说,网络犯罪分子在自己伪装好起来。”They’re really doing their social engineering homework by scanning all socials to find out what your ‘likes’ are, who your friends are, who your former co-workers are to create fake profiles and connect with you or send you emails from fake email address.” He cited the example of using a font that makes a ‘r’ and ‘n’ together to make it look like an m (rn -> m) in hopes of duping you into giving up sensitive information (usernames, passwords, financials, etc.).
Agari调查显示,60%的安全领导人表示,他们的组织在过去一年中至少遭遇过一次有针对性的社会工程攻击,或者可能已经遭遇过一次。
电子邮件是使用网络罪犯违反企业和消费者的骗局,Agari报告的头号攻击向量。今天的攻击已经进化超越“网络钓鱼”,包括这种攻击的勒索和BEC - 但在电子邮件渠道不断变化的威胁日益复杂的安全。甚至在这些类别中,有通过网络犯罪分子进一步区分每个攻击使用多种技术。没有对一刀切的做法 - 为企业了解,因为每个攻击都需要有自己的解决方案的电子邮件威胁环境是很重要的。
根据去年进行了校对研究2016年最后三个月,BEC的攻击率比前三个月上升了45%。
在Rackspace公司云办公的总经理柯克Averett,说,今天所有的企业都合法地关注数据的安全性,尤其是损失或敏感数据的公开共享。“攻击者通过伪装成可信赖的合作伙伴使用电子邮件,然后巧妙地诱骗用户在线泄露喜欢他们的登录用户名和密码,一个有价值的网站的私人信息。攻击者则有宝贵的数据,并可以经常使用这些信息来对犯下客户或员工额外受到伤害。”
尽管企业协作工具,如Dropbox的首次展示,懈怠和合流,80%的企业的知识产权通过电子邮件仍然是共享的,但只有12个安全领导的信任百分之他们现有的电子邮件安全解决方案。
为什么没有市场关闭了这个安全漏洞?
Shirk说,有很多传统的解决方案可以加密选择的消息,但是有很多在几个关键方面做得不够:它们难以使用,不能提供持久的端到端保护,而且它们只关注组织电子邮件的一小部分。许多甚至不提供基本的安全附件。
“由于电子邮件安全领域的这些变化,比以往任何时候都更重要的是重新评估我们如何保护电子邮件。它必须简单易用。它必须在企业内部和外部工作。而且,它必须在我们最喜欢的电子邮件工具中工作。人们不喜欢改变他们的行为(这就是为什么钓鱼攻击这么有效),所以你必须把问题抛在脑后,”他说。
Grant Shirk, Vera的市场副总裁
他说,最常见的误解之一是,电子邮件安全解决方案可以阻止所有攻击。虽然市场上的解决方案识别出了大多数威胁,但仍有一些实例会被遗漏,当用户点击链接、附件或图片时,他们需要意识到这一点。
基于电子邮件的攻击已经向企业和消费者的持续威胁自从互联网来到大众市场,马库斯·雅各布森,在Agari首席科学家说。”有几个因素导致了这场网络危机,包括电子邮件固有的安全漏洞,云计算的兴起,以及意识到人类的漏洞比技术漏洞更容易被利用。随后,电子邮件渠道变成了网络活动的场所,有无穷无尽的探索机会。”
他说,在很长一段时间里,基于电子邮件的攻击都不是很成功,而且主要针对的是天真的人。然而,过去三到五年发生了巨大的变化,基于电子邮件的攻击变得越来越普遍和复杂,并以多种形式出现。
“例如,尽管10年前的‘喷雾和祈祷’消费者网络钓鱼攻击仍在发生,但更有针对性的攻击也在演变,形成了新的类别——想想鱼叉式网络钓鱼、勒索软件和商务电子邮件攻击(BEC)。”毫无疑问,未来还会有更多的变化,”他说。
他用嵌套娃娃的比喻,显示的基于电子邮件的攻击演变。“当你拉开一个娃娃,另一个相似,但略有不同的玩偶出现。电子邮件攻击的新一代正在继续出生在威胁环境,每一个更有能力,并威胁比过去的“。
基于电子邮件的攻击设计和社会工程在过去的几年里显著变化,Jakobsson着说。利用使用社交网络和违规和个人账户妥协数据被盗,网络犯罪分子正在寻找方法来提高他们的电子邮件的合法性。
更糟糕的是,电子邮件的门槛也很低。尽管有些攻击——比如去年针对约翰•波德斯塔的攻击——非常聪明,但从技术上讲,大多数攻击相当直接。然而,他们仍然非常成功,”他说。
与恶意软件开发相比,基于电子邮件的攻击要求更低,而且网络罪犯不需要高级的计算机技能执行它们。今天,有很多资源和方法几乎任何人都可以使用互联网。他说:“再加上犯罪分子所能看到的巨额利润,以及传统电子邮件安全措施的常见失误,比如传统的垃圾邮件过滤器,不难理解为什么这类犯罪会激增。”
最近几个月,恶意的“钓鱼攻击”一直占据着安全新闻的头条,2017年已经出现了针对Gmail、Netflix和亚马逊用户的攻击活动,以及一些大型企业W-2和BEC作弊。
今天,电子邮件威胁环境极为复杂,但没有共同商定,以帮助企业提供分级制度真正明白发生了什么事情。这是一个问题,因为在到达一个组织阻止电子邮件攻击的情况下,知识就是力量,他说。
西顿说,威胁格局正在发生巨大变化。传统上,同样的恶意软件被发送给许多客户,一旦这些病毒被识别,安全公司就会使用文件的签名来识别新的攻击。在当今世界,攻击者为每个收件人生成一个惟一的文件。这就产生了对沙箱的需求,即在安全的虚拟机中打开每个文件,并观察其行为以确定其是否恶意。
“然而,即使这种方法可能很快就会过时,因为攻击者可以预期文件将在人工沙箱环境中打开,并采取积极的步骤来避免检测,”Cidon说。“同样,我们也看到鱼叉式网络钓鱼(spear phishing)或社交工程攻击的大幅增加,攻击者甚至不需要依赖病毒或恶意链接。”相反,攻击者欺骗收件人发送敏感信息(例如,W-2s,信用卡号码)或通过冒充公司中的其他人进行电汇。
传统的电子邮件安全在防范这些威胁方面做得不够,因为这种攻击似乎并不是恶意的。这就是为什么机器学习越来越成为电子邮件安全的关键部分,”他说。
身份欺骗
雅库布森说,几乎所有的攻击都使用某种形式的身份欺骗,但这种欺骗有很多种。这就是传统上所说的“欺骗干扰”;一种是外观相似的攻击,攻击者在其中注册一个域;还有所谓的“显示名称滥用”——这是一种攻击,罪犯选择一个令人信服的显示名称,通常是为了注册一个免费的网络邮件帐户。还有一个问题是损坏的帐户,即诚实用户的帐户,攻击者设法窃取了这些用户的凭证。
这个问题的另一部分是骗人的身份是如何使用的,Jakobsson着说。有针对性的攻击利用上下文信息,这使得他们更可信。此外,他们也不太可能由使用黑名单,因为每个攻击实例看起来与其他不同的过滤器堵塞。此外,攻击可以分为基于它们是否涉及一个URL(如消费钓鱼攻击做);附件(如许多勒索攻击做);或者仅仅是基于对话的(如典型BEC攻击)。
这些描述符有助于理解应该使用什么类型的对策来预防这些问题;例如: