用數學符號繞過反釣魚檢測,這屆黑產有點6
責編:gltian |2021-10-15 14:16:29作為一種古老的網絡攻擊手段,釣魚郵件是企業和個人最常遇見的網絡威脅之一。和零日漏洞、APT攻擊等高危險的攻擊方法相比,釣魚郵件就顯得非常“老套”。
但是,“老套”并不意味著無效。相反,隨著網絡空間的不斷發展、壯大,這種“老套的”攻擊手段給每年都給企業帶來了難以言表的巨額損失。
2021年Q2 Coremail郵件安全報告的數據顯示,和2021年Q1相比,Q2郵件安全問題依舊層出不窮,釣魚郵件季環比增長21.27%,同比增長甚至呈現翻倍上升趨勢。
另一份報告指出,美國大型企業平均每年因與網絡釣魚相關的網絡犯罪而損失1480萬美元,遠高于2015年的380萬美元,過去六年來,美國大型企業的網絡釣魚平均成本飆升了289%,年均損失近1500萬美元。
同時,網絡釣魚憑據也是勒索軟件和商業電子郵件入侵 (BEC) 的常見起點。該報告稱,勒索軟件每年給大型企業造成570萬美元的損失,而BEC則為600萬美元。網絡釣魚造成的損失被比勒索軟件和BEC損失的總和還多。
釣魚郵件之猖獗可見一斑。
用數字符號規避釣魚檢測
面對日益頻發的釣魚郵件攻擊,不少企業開始部署各種反釣魚郵件的工具和解決方案,而攻擊者們則是想盡辦法來規避這些反釣魚郵件檢測。
據Security affairs消息,近日某釣魚郵件組織突發奇想,使用數字符號來干擾反釣魚郵件檢測,竟然還取得了不俗的效果。
電子郵件防護產商INKY的安全研究人員詳細地介紹了這種“新型”的釣魚郵件攻擊,它的核心是利用各種數字符號替換公司logo或名字中的字母,達到“欺騙”反釣魚郵件或反垃圾郵件產品的目標。
美國電信巨頭Verizon成了這種新型攻擊的首個目標,自2021年11日開始,不少用戶收到了“修改密碼”的釣魚郵件。不久之后,不少用戶的賬號被盜,有的甚至還被盜刷了信用卡,丟失了數千美金,但Verizon表示公司系統并為遭到破壞。
安全人員對此次釣魚郵件攻擊事件復盤之后發現,釣魚郵件并未使用多少新的技術,而是對郵件進行了高超的“偽裝”。
一個紅色的平方根字符,NOR邏輯操作符或者說是漢字符號中的勾(√),這些簡單的數學符號創造了一種邏輯干擾,竟然就這么騙過了反垃圾郵件檢測的“眼睛”,于是這些郵件成功發給了用戶。
之所以這波操作如此有效,是因為Verizon公司的logo使用的就是一個紅色、不對稱的“V”,這和平方根符號或者說“勾”相似度非常高,如下圖所示。
(不仔細看根本分辨不出來有木有)
因此,很多用戶收到了郵件后,完全沒有發現這是一封假的郵件。
但該釣魚郵件的偽裝還遠不止這些,他們還創建了一個相似度非常高的假Verizon公司的網頁。攻擊者們在郵件中使用了一個簡單的數字字符,用戶只要點擊之后就會定向鏈接到這個假網站。
這個假的惡意網站和真網站有多相似呢?根據INKY的安全研究人員的說法,他們幾乎是完全克隆了Verizon公司的官網,使用了幾乎相同的設計元素。
這就騙過了很多的用戶,他們在登錄頁面填寫了自己的Office 365的賬號密碼進行登錄,而這些信息全部都落入到攻擊者的手中。
有趣的是,用戶在第一次登錄的時候會顯示“登錄錯誤”,并要求再次輸入賬號密碼,最終顯示的頁面是“無法登錄”。
兩次輸入就意味著兩次信息收集,但INKY安全研究人員也無法理解這波操作的真正原因。他們猜測攻擊者是想確認賬號密碼的真實性,或者是引導用戶輸入其他的賬號密碼,這樣他們可以收集兩套登錄憑證,賣兩份價錢。
INKY安全研究人員進一步研究發現,釣魚郵件攻擊者是直接使用Gmail賬戶發送釣魚信息。之所以如此明目張膽,是因為它們可以通過標準的電子郵件身份驗證(SPF、DKIM和DMARC)。而那個等待用戶的假的惡意網站中,存在著最新的零日漏洞,足以給用戶造成嚴重損失。
事實上,這已經不是Verizon公司2021年度第一次遭遇釣魚郵件攻擊。
2021年4月,Verizon公司移動端用戶遭釣魚攻擊,并欺騙用戶竊取電話號碼、ID、密碼等私人數據信息,并且在2019年2和3月也遭受了兩次釣魚郵件攻擊。
頻繁出現的釣魚攻擊不僅給用戶帶來了一定的損失,也給Verizon公司聲譽和業務造成了一定的損傷。
另外值得注意的是,前三次釣魚郵件攻擊還略顯粗糙,最近一次的釣魚郵件則出現明顯的“定制化”趨勢。攻擊者用更加巧妙的手段,瞞過了企業反釣魚郵件的檢測,也瞞過了很多粗心的用戶。
如何有效預防釣魚郵件?
眾所周知,釣魚郵件的核心就在于一個“偽”字,而只要是假冒的就一定會存在各種蛛絲馬跡,我們可以通過這些蛛絲馬跡來分別是不是釣魚郵件,避免掉入攻擊者們的陷進之中。
以下是安全專家們提供的預防釣魚郵件的建議:
1、對于來自Gmail或其他免費電子郵件提供商(如雅虎、AOL或Hotmail)保持警惕,仔細核對發件人和郵件的真實性。
2、確保在下載任何附件之前進行檢查,尤其是未經請求的電子郵件。更好的做法是,仔細檢查發件人的電子郵件地址并留意高風險附件文件。不輕易下載附件,也不輕易點擊陌生鏈接。
3、切勿通過電子郵件提供敏感信息,如果一封電子郵件要求收件人提供信用卡詳細信息、稅號、社會保障信息或任何其他敏感詳細信息,那基本是釣魚郵件。
4、安裝反釣魚郵件工具,目前很多殺毒軟件和瀏覽器都包含了反釣魚郵件工具,這可以幫我們攔截大多數釣魚郵件,并且會有相應的提醒。
5、重要文件做好防護,很多時候釣魚郵件只是勒索攻擊的開端,及時對重要郵件備份,防止勒索攻擊鎖住文件造成巨額損失。
參考來源:https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html