ASRC 2019 年第二季度電子郵件安全趨勢
責編:gltian |2019-07-26 11:18:26根據 ASRC 研究中心 (Asia Spam-message Research Center) 與守內安的觀察,2019 年第二季度,電子郵件安全趨勢基本為第一季度情況的延續。有更多的合法域名遭到濫用;詐騙郵件的數量比第一季度上升了 250% 以上,其中以無差別攻擊的尼日利亞詐騙郵件占比最高;針對型的商務電子郵件詐騙雖然占比低,背后隱藏的信息安全問題卻不容忽視;而 Office 的漏洞,仍是穩定、易觸發、全版本都可用,最被攻擊者青睞。
以下是本季主要的趨勢觀察:
詐騙郵件總數比上季度上升 250% 以上
詐騙郵件可以分為商務電子郵件詐騙 (BEC,Business Email Compromise) 與尼日利亞詐騙 (419scam) 兩大種類。商務電子郵件詐騙主要是針對正與外部供應鏈從事商務洽談或執行電匯時,介入的復雜詐騙攻擊。而尼日利亞詐騙則是對全球不特定目標發送各種詐騙信息,內容涵蓋了災難、遺產或巨額資金轉移、網絡交友、募款等主題,對收件人進行詐騙。不論是商務電子郵件詐騙或尼日利亞詐騙,主要采用的都是社交工程手法,需與收件人互動。
由于商務電子郵件詐騙發動前,需要先能入侵目標對象的電子郵箱,并進行一段時間的監測,才會在交易時,發動商務電子郵件詐騙。因此曾遭受商務電子郵件詐騙的企業單位,多半已存在信息安全問題;而尼日利亞詐騙只需要捏造故事,并將這些故事發送給曾外泄的、暴露在外的電子郵件地址,接著等防備較弱的人上鉤,就可以開始進行詐騙。兩者的攻擊難度差異甚大,因此在 2019 年上半年,這兩種詐騙的比率很穩定,商務電子郵件詐騙約占 2%,而尼日利亞詐騙高達 98%;而整體的詐騙數量,第二季度較第一季度上升了約 250% 以上。
通過 Google 翻譯后,發送至華語地區國家的尼日利亞詐騙
越來越多的合法空間遭到利用,藉以掩護攻擊目的
ASRC 在第二季度持續觀察到新的合法空間被用來放置惡意文檔或文件。這類攻擊郵件多半以很簡單的內容附上一個合法域名的超鏈接,希望收件人可以前往該鏈接以下載或開啟文檔。
這些域名的擁有者都是跨國的大型企業,并為知名的網絡服務提供商,因此,當收件人點擊這些鏈接時,可逃過多數上網保護或管理機制的檢測,進而接觸存在風險的惡意文檔。
越來越多的合法空間,遭到利用
電子郵件的漏洞利用, Office 漏洞運用最廣,WinRAR 漏洞多用于針對型攻擊
2019 年上半年來自電子郵件的漏洞利用,前三名分別為 CVE20144114、CVE20180802、CVE201711882。這三個都是 Microsoft Office 漏洞,它們穩定、易觸發、全版本都可用,只要能夠引起使用者好奇,一旦附件被開啟,不需要使用者再配合執行其他動作,漏洞便會觸發執行惡意軟件,接著攻擊者便能取得計算機掌控權。
除此之外,值得特別留意的是第一季度被揭露的 WinRAR 漏洞 CVE201820250 系列,在第二季度的攻擊范圍與數量都有明顯增加的趨勢,攻擊普遍出現于金融、制造、醫療、石油等相關產業。這個漏洞幾乎都為針對型 APT 攻擊所利用,不同前述利用目的較為多元的 Office 漏洞。
無文檔式攻擊,讓防御更加艱巨
我們也從許多電子郵件的攻擊中觀察到無文檔式 (Fileless) 的攻擊,也稱為「離地攻擊」( living off the land )。這類攻擊不必下載專用工具,因此無從發現惡意軟件!攻擊的初始可能從一份有害的惡意文件開始,在漏洞被觸發或以社交工程的方式成功促使收件人執行 VBA 后,開始使用受害者操作系統中種種合法工具,開始進行一連串的攻擊,尤其是 Windows 上的 PowerShell,更是攻擊者的最愛。這讓以偵測惡意軟件存在發現的防衛手段,面臨艱巨的考驗。
結語
90% 的網絡攻擊皆由電子郵件拉開序幕,因此,將電子郵件的防守做得牢靠,就能防住大多數的網絡攻擊。攻擊者似乎也明白這一點,因此,越來越多來自電子郵件的攻擊者利用超鏈接、短網址、合法空間存放惡意軟件等手法,試圖將戰場從電子郵件過濾的網關口延伸至收件人的終端計算機、瀏覽器等,并且試圖制造出防守方的各種邏輯漏洞或矛盾,例如,為了解決惡意超鏈接所帶來的風險,而針對電子郵件內的每一個超鏈接進行檢測,這就可能帶來許多未經授權的點擊,造成各種身分認證、稽核、確認訂閱或退訂混亂的情況,這可能是許多開發者或方案采用者不會直接意識到的風險。
關于 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center),長期與守內安合作,致力于全球垃圾郵件、惡意郵件、網絡攻擊事件等相關研究事宜,并運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動等方式,促成產政學界共同致力于凈化因特網之電子郵件使用環境。更多信息請參考 www.asrc-global.cn
關于守內安
守內安信息科技(上海)有限公司(以下簡稱 “守內安”),是上海市政府及國家獎勵支持的自主研發高科技創新的“雙軟認定企業”和“高新技術企業”,鉆研郵件風險管理和信息安全內控管理。以電子郵件安全管理為核心,研發了一系列“電郵安全與合規”為中心的核心產品線,衍生到威脅防御與聯合防御體系。守內安十幾年來秉承“以客為尊”的服務理念,樹立了“服務?品質?值得信賴”的品牌理念,目前已擁有7000+家全球性企業級用戶,終端用戶達80,000,000+人次。
守內安受到廣大客戶認可的端口25 郵件安全生態防御明星產品:
- SPAM SQR: 防垃圾郵件過濾系統-提供勒索、APT及商業郵件詐騙等惡意郵件的防御。
- MSE: 電子郵件過濾審批系統-郵件事先過濾審批策略,防止數據通過郵件外泄(DLP)。
- MAE: 電子郵件歸檔審計系統-事后快速調閱,審計舉證與合規性。
- Mail SOC: 提供郵件巡航與RBL等偵測服務。
- SMRS: 外發郵件不通轉發安全中繼平臺服務。
服務咨詢:+86-021-51036007
官網:www.softnext.com.cn