歐洲刑警組織揭秘魚叉式網絡釣魚攻擊背后成功方法論
責編:gltian |2019-11-14 10:43:32新報告中,歐洲刑警組織稱:魚叉式網絡釣魚依然是大多數網絡罪犯的主要攻擊方法。
65% 的針對性攻擊組織將魚叉式網絡釣魚作為其主要感染途徑,32% 的數據泄露涉及網絡釣魚。2018 年間,0.55% 的入站電子郵件是網絡釣魚郵件,網絡釣魚出現在 78% 的網絡間諜事件中。
為緩解網絡犯罪,歐洲刑警組織成立了金融服務、通信提供商和互聯網安全咨詢小組。歐洲刑警組織與這些咨詢小組中的私營產業合作伙伴會晤,討論行業特定的網絡犯罪威脅與趨勢,推動聯合公/私行動計劃的發展與合作。
2019 年 3 月的兩天多時間里,70 個全球金融機構、互聯網安全公司和電信提供商聚集在一起,共享有關網絡釣魚的真知灼見。日前,歐洲刑警組織公布了此次會議的結果,以獨特的司法-行業視角解析魚叉式網絡釣魚威脅。
歐洲刑警組織歐洲網絡犯罪中心 (EC3) 主任 Steven Wilson 評論道:
魚叉式網絡釣魚極大推動了某些最為嚴重的網絡犯罪形式,特別是勒索軟件,可真正傷害歐洲的公民和企業。我們只能通過與產業界主要合作伙伴緊密協作,來有效應對這種規模的威脅。EC3 咨詢小組和這份報告是我們持續合作對抗網絡犯罪威脅的反映。
該報告很大程度上無視了基于垃圾郵件的廣撒網式網絡釣魚活動。這些更容易被檢測和封鎖。針對特定個人的基于偵察的針對性攻擊就是另一回事了。問題在于,偵察階段十分簡單,幾乎無需任何技術專長。通常,網絡釣魚者的數據有兩個來源:首先,目標公司自己的網絡存在;其次,網絡釣魚目標社交媒體賬戶上的個人信息。
公司貼出的招聘職位就是一種重要的數據來源。典型的職位空缺通知不僅描述了公司里特定職位的任務和責任(過程),還包含了該職務的上下級關系(結構),以及所需的技能和知識(軟件)。攻擊者可從社交媒體賬戶上獲悉個人興趣愛好和目標對象的同事交往關系。再加上目標的電子郵件地址,攻擊者就可以上演一場勝券在握的魚叉式網絡釣魚攻擊了。而電子郵件地址這種東西,通常可以從 LinkedIn、hunter.io 等服務上輕松獲取或猜到。
攻擊過程包括說服目標該電子郵件來自可信源或可信人士。這意味著從屬于該公司的電子郵件地址發送釣魚郵件(商務電郵入侵 (BEC) 及其新變種供應商電子郵件入侵攻擊的基礎),或者從相似虛假域名的郵件地址發送釣魚郵件。電子郵件本身要么試圖重定向收件人到網絡釣魚網站(尋求收集憑證或投送惡意軟件),說服收件人下載并打開惡意文件;要么直接帶有讓收件人打開的武器化附件。
現在 48% 的惡意附件是 Office 文檔,會包含基于宏的無文件攻擊,不會在終端上留下可被反惡意軟件特征引擎檢測到的惡意文件。此類攻擊中,精心編制的電子郵件內容完全是為了說服收件人認可該電子郵件并允許執行宏。
歐洲刑警組織認為,防御魚叉式網絡釣魚需結合技術解決方案和用戶意識。技術解決方案由策略和軟件組成。策略解決方案包含禁用未經審核的宏和采用雙因子身份驗證;也包含更為復雜的策略,比如在 DNS 中設立發送方策略框架 (SPF) 和實現域消息身份驗證報告與一致性 (DMARC)。后者是廣泛推廣的網絡釣魚(更具體講是涉及公司自有品牌的網絡釣魚)解決方案,但截至目前僅有零星采用。
歐洲刑警組織在 2019 年 10 月發布的《2019 互聯網有組織犯罪威脅評估》報告稱,“一份研究表明,DMARC 采用在 80% 的公司企業中都不存在。”而若無廣泛采納,DMARC 就不能對網絡釣魚問題提供有效防御。
該報告并未強調任何特定反網絡釣魚軟件解決方案,但列出了此類產品具有的一些功能,且公司企業也可以直接使用這些功能。其中包括用域阻止列表封鎖已知惡意 IP 地址,阻止要求憑證或其他個人信息的電子郵件等。報告還指出,人工智能和機器學習的持續進步,有助優化成功檢測和過濾復雜網絡釣魚攻擊。但值得注意的是,有一派觀點認為,機器學習不會是魚叉式網絡釣魚的最佳解決方案,因為算法學習的數據池太小了,達不到所需的準確性。該觀點并不普遍。
魚叉式網絡釣魚的用戶意識解決方案更為盛行。該方案列出可教用戶識別的網絡釣魚線索類型。
可通過用真實案例場景系統性攻擊用戶來達成意識教育,方法是以網絡釣魚模擬攻擊(網釣自家員工)結合根據員工點擊率 (CTR) 采取的后續步驟(增加良好表現者的難度,為其他員工提供針對性指導)。
毫無疑問,針對現有產品的 “模擬網絡釣魚” 市場正快速擴張。盡管如此,GetApp 在 2019 年 9 月的調查發現,僅 30% 的公司企業對員工進行網絡釣魚測試。而且,也不清楚改進網絡釣魚培訓方案是否會引入新的問題。Agari 的報告顯示,用戶上報的網絡釣魚嘗試增長速度遠超安全人員的處理能力。很多此類網絡釣魚嘗試報告都是誤報,但仍需要加以調查。隨著安全人員分揀這些報告的時限壓力不斷增加,真正的網絡釣魚嘗試趁虛而入的風險也增大了。
使用自動化網絡釣魚培訓的危險在于,可能會迫使用戶上報哪怕最微小的可疑之處。事實上,歐洲刑警組織的報告強調:如果有所懷疑,可疑郵件應作為附件轉發給目標公司的專用聯絡點。
因為用戶未必知道這是真正的網絡釣魚還是有意的模擬網絡釣魚,他/她可能會出于對未通過測試的恐懼而將此郵件標記為網絡釣魚。
盡管有策略、技術和培訓解決方案幫助緩解魚叉式網絡釣魚威脅,但沒有哪種方式是萬無一失的。魚叉式網絡釣魚可能已經成為公司企業面臨的主要威脅,而且還將繼續深化發展。很明顯,在報告的最后一部分,歐洲刑警組織看起來幾乎是在給自己找借口了。GDPR 生效后無法再使用的 WHOIS 數據是該組織的顧慮之一。
司法機構、公共安全部門和網絡安全研究人員無法再直接使用 WHOIS 信息。這極大傷害了公共利益、網上法治,妨礙調查和阻止網絡罪犯的魚叉式網絡釣魚活動。
歐洲刑警組織發布的網絡釣魚司法角度解讀報告:
歐洲刑警組織《2019 互聯網有組織犯罪威脅評估》報告:
https://www.europol.europa.eu/sites/default/files/documents/iocta_2019.pdf