對,就是你!99%的網絡攻擊離不開受害者的幫忙
責編:gltian |2019-09-16 17:21:12研究揭示大多數罪犯如何利用人的好奇心和信任,騙取點擊、下載、安裝、打開和發送金錢或信息。
絕大多數網絡罪犯針對的是人而不是基礎設施:2018 至 2019 年間,超過 99% 的電子郵件分發惡意軟件,需要受害者人為點擊鏈接、打開文檔、接受安全警告,或者完成其他任務,才可以有效入侵目標公司。罪犯瞄準的不是各類系統,而是人,是人擔任的職務,及其可以訪問的數據。
以上數據出自 Proofpoint 研究人員歷經 18 個月攻擊趨勢觀察編撰而成的《人為因素 2019》報告。報告指出,隨著攻擊者從打砸搶式勒索軟件攻擊活動,轉向精心策劃的商業電郵入侵陰謀和域名欺詐,公司企業越來越容易遭遇社會工程攻擊,社會工程攻擊的復雜程度也持續上升。
Proofpoint 威脅情報主管 Chris Dawson 稱:觀察到的絕大多數威脅,需要某種形式的人機交互。使用硬件或軟件漏洞的情況也時有所見,但這些最終還是要嵌入到惡意文件中。甚至漏洞利用程序和宏的使用,也需要人來點擊鏈接、打開文檔、接受安全警告,或完成其他動作。
Proofpoint 報告稱,2018 所有網絡釣魚活動中,通用電子郵件收集占比近 25%。憑證收集依然是今年的重點關注項,其技術正轉向微軟 Office 365 網絡釣魚和冒充攻擊。云存儲、DocuSign 和微軟云服務網絡釣魚是今年最熱網絡釣魚誘餌,取代了去年分發飲食相關垃圾郵件,捕獲受害者信用卡的 “健腦飲食” (Brain Food) 僵尸網絡。
Dawson 表示,攻擊者知道公司企業正轉向云端,雇員只要看到眼熟的東西就會點擊,即便發送者不再聯系人列表內。用戶已慣于看到 Office 365 和 Dropbox 鏈接;點擊這些鏈接的直覺已經勝過三思而后行的本能了。
假冒攻擊郵件正從 “請求” 類主題欄轉向顯示 “支付” 或 “緊急” 的消息。主題欄誘餌也隨季節變動,2018 年末和 2019 年初盛行 W-2 報稅表相關的攻擊,且各行業用語不同。比如說,教育行業收到的假冒攻擊郵件大多為 “請求” 和 “致意” 類,而針對工程公司的攻擊,通常在主題欄寫 “緊急” 或 “要求” 字樣。為跟上商業流程,多數假冒電子郵件在星期一發送,快到周末時漸漸偃旗息鼓。
背后原因是什么?
與大量投送勒索軟件的廣撒網式攻擊活動不同,現在的攻擊者小范圍利用更縝密的攻擊。他們更偏好可以不觸發任何警報,駐留受害者計算機數天或數月的那類惡意軟件。很多攻擊者都已經轉向分發復雜后門以收集數據了。
方法和工具的變遷皆旨在更長久地駐留受害者主機,長期收集數據,以及圖謀后續再做點別的動作。勒索軟件攻擊如今也表現出新的模式,似乎早在感染開始前,企業就已經被入侵了。
比如說,Carbanak 黑客團伙就使用誘餌和精心編制的文件附件,來分發多種惡意軟件。2018 年的一次攻擊行動用到一封電子郵件,其附件甚至聲稱受到安全技術保護。按指示“解密”該文件就會啟動宏,并安裝 Carbanak 攻擊常用的 Griffon 后門。
誰家收件箱面臨風險?
當今攻擊活動正朝向針對性攻擊發展;但攻擊者在目標類型選擇和攻擊策劃上表現出多樣性。
最易遭攻擊的人群是身份信息公開可見的那類。首席級高管往往不在此列,他們通常不會在網上暴露身份。但銷售人員、市場營銷團隊和人力資源員工,大多都有公開的電子郵箱。已識別的遭攻擊人員中,36% 的相關身份可從企業網站、社交媒體或其他網站上獲取。與之相對,僅 7% 的高管電子郵箱地址可在網上找到。
犯罪機會,或者說類似 HR[@]company[.]com 這樣的別名郵箱地址,相當常見。這種共享的別名郵箱賬戶真的非常難以保護。
針對每家公司,攻擊者只要以超過五個的假冒身份,向五名以上員工實施攻擊,往往能收獲成功。攻擊正從一對一轉向一對多,再轉向多對多。攻擊者可能假冒多位高管向員工發送惡意文件,或者利用一組假冒身份向人力資源部門索要 W-2 報稅數據。
攻擊者用這種策略大獲成功,也就進一步加大了冒用身份的數量和攻擊目標人數。
Carbanak 分析報告: