国际刑警组织最近在关停一个影响 43 个国家数千名受害者的“网络钓鱼即服务”操作服务后指出:“网络钓鱼等网络攻击可能是无国界和虚拟的,但其对受害者的影响却是真实和毁灭性的。”例如,据美国联邦调查局 (FBI) 称,商业电子邮件泄露 (BEC) 是一种无恶意软件的攻击,旨在诱骗收件人转移资金,给全球受害者造成的损失已经超过了 500 亿美元。
据估计,90% 成功的网络攻击都始于电子邮件网络钓鱼,这仍然能为攻击者牟利。如今能阻止网络钓鱼企图的措施并不多。不过,若要防止攻击得逞,必须了解(并主动应对)不断演变的网络钓鱼趋势,包括攻击者巧妙地利用目标受害者对“已知”电子邮件发件人的信任。为此,Cloudflare 本周发布了首份《网络钓鱼威胁报告》。
本报告基于 2022 年 5 月至 2023 年 5 月的电子邮件安全数据,探讨了主要的网络钓鱼趋势和相关建议。在此期间,Cloudflare 处理了大约 130 亿封电子邮件,其中包括阻止大约 2.5 亿封邮件进入客户的收件箱。本报告还参考了 Cloudflare 委托对北美、欧洲、中东和非洲,以及亚太地区 316 名安全决策者进行的调查(您可以访问此处,下载单独的研究报告)。
查看完整的报告,了解我们的三大要点:
攻击者使用欺骗性链接作为网络钓鱼的头号手段,以及攻击者如何不断改进引导受害者点击,何时利用链接作为武器进行攻击;
身份欺骗有多种形式(包括企业电子邮件入侵 (BEC) 和品牌假冒),并且可以轻松绕过电子邮件身份验证标准;
攻击者假冒数以百计的组织,但他们主要冒充我们信任(并需要与之合作)的实体。
在阅读《2023 年网络钓鱼威胁报告》时,还需注意以下几点。
电子邮件威胁分类
攻击者通常会联合使用社会工程学和技术混淆技巧来使其邮件看起来合法。因此,Cloudflare 使用许多先进的检测技术来分析“模糊”信号(不仅仅是由肉眼可以看到的内容),以识别不受欢迎的电子邮件。这些信号包括:
结构分析:使用专门设计的启发式算法和机器学习模型,对标头、正文、图像、链接、附件、有效负载等进行分析,以检测网络钓鱼信号;
情绪分析,检测模式和行为变化(例如,写作模式和表达);
信任图谱,评估社交图谱、电子邮件发送历史和潜在的合作伙伴假冒
我们的电子邮件安全服务还包含了来自 Cloudflare 全球网络的威胁情报,该网络平均每天拦截 1400 亿个网络威胁。
这些与许多其他信号会将电子邮件处置为恶意、BEC、欺骗或垃圾邮件;我们的仪表板会告诉客户特定电子邮件处置的具体原因(即威胁指标“类别”)。
以下是我们在 2022 年 5 月 2 日至 2023 年 5 月 2 日期间观察到的最主要电子邮件威胁指标的快照。我们将威胁指标分为 30 多个不同的类别;在此期间,最主要的威胁指标包括欺骗性链接、域期限(新注册的域名)、身份欺骗、凭据收集和品牌假冒。
以下是各热门类别的简要说明(更多详情可见报告附录)。
点击后,欺骗性链接将打开用户默认的 Web 浏览器并显示链接中引用的数据,或者直接打开一个应用(如 PDF)。由于可以任意设置 HTML 中链接(即:超文本)的显示文本,因此,攻击者可以使 URL 看起来链接的是一个良性网站,而实际上却是恶意网站。
域期限与域声誉有关,域声誉是分配给域的总体分数。例如,完成域名注册后,立即发送大量新邮件的域名往往信誉较差,因此得分也较低。
身份欺骗是指攻击者或不怀好意的人假冒其他人发送电子邮件。各个国家/地区的攻击机制和策略差异巨大。一些策略包括注册看起来相似的域名(又称域名假冒)、伪造或利用显示名称技巧,使电子邮件看起来像来自可信的域名。其他变种包括使用域前置 (domain fronting) 和高信誉的 Web 服务平台发送电子邮件。
攻击者设置凭据收集器,欺骗用户提供登录凭据。不知情的用户可能会输入自己的凭据,最终为攻击者提供自己账户的访问权。
品牌假冒是一种身份欺骗形式,攻击者发送网络钓鱼信息,冒充知名公司或品牌。攻击者使用各种各样的技术进行品牌假冒。
电子邮件恶意附件,在攻击环境下打开或执行时,其中包含行动号召(例如引诱目标去点击链接)或执行攻击者设置的一系列操作。
Cloudflare 经常在一封网络钓鱼电子邮件中发现多个威胁指标。例如,以硅谷银行为主题的网络钓鱼活动(详见(详见 2023 年 3 月的这篇博客)组合运用了品牌假冒、欺骗性链接和恶意附件。
攻击者在以 DocuSign 为主题的模板中使用了 SVB 品牌。这封邮件包含了 HTML 代码,该代码包含一个初始链接和一个复杂的重定向链,重定向链有四个深度。攻击中包含的 HTML 文件会将收件人发送到具有递归重定向功能的 WordPress 实例。
(说到链接,欺骗性链接是第一大威胁类别,在我们 35.6% 的检测结果中都有出现。。攻击者不仅仅在电子邮件渠道中使用链接;报告中还介绍了多渠道网络钓鱼威胁的兴起,这些威胁利用其他应用,例如手机短信、聊天和社交媒体)。
值得信赖(和最易遭到假冒)的品牌
在 2022 年 5 月至 2023 年 5 月期间,针对 Cloudflare 客户的电子邮件中,有大约 1000 个不同品牌遭到冒充,硅谷银行只是其中之一。(2022 年 7 月,在 Cloudflare One 产品套件化解的“Oktapus”网络钓鱼攻击中,Cloudflare 员工直接成为品牌假冒的攻击目标)。
然而,正如《网络钓鱼威胁报告》中所述,我们发现攻击者的电子邮件常常(51.7% 的时间)假冒全球 20 大知名品牌之一,其中 Microsoft 首当其冲。
排名 | 被假冒的品牌 |
---|---|
1 | Microsoft |
2 | 世界卫生组织 |
3 | |
4 | SpaceX |
5 | Salesforce |
6 | Apple |
7 | Amazon |
8 | T-Mobile |
9 | Youtube |
10 | MasterCard |
11 | Notion.so |
12 | Comcast |
13 | Line Pay |
14 | MasterClass |
15 | Box |
16 | Truist Financial Corp |
17 | |
18 | |
19 | AT&T |
20 | 路易威登 |
尝试获取 Microsoft 凭据的示例
今年初,Cloudflare 发现并阻止了一个利用微软品牌的网络钓鱼活动,该活动试图通过一个合法但被入侵的网站获取凭据。
在下面的电子邮件示例中,尽管电子邮件呈现了文字,但正文中却没有任何文本。整个正文是一个超链接的 JPEG 图像。因此,如果收件人点击了正文中的任何地方(即使他们并不打算点击链接),他们实际上就是在点击链接。
最初,该图片的超链接似乎是一个良性的百度 URL - hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是,如果点击此链接,目标的浏览器就会被重定向到一个已被入侵并用于托管凭据收集器的网站。
攻击者使用了 Microsoft Office 365 品牌,但试图通过在图片中包含品牌信息来规避品牌检测技术(即:没有可供检查以识别该品牌的明文或 HTML 文本)。
不过,Cloudflare 使用光学字符识别 (OCR) 成功识别出了图片中的“Office 365”和“Microsoft”。我们还利用 OCR 识别了与密码相关的可疑账户诱饵。
在本例中,攻击者的技巧包括:
只包含 JPEG 图像(不使用 OCR 就无法检测到文字)
在该图片中嵌入超链接(点击正文中的任何地方都会导致点击链接)
超链接到百度 URL(用于绕过基于信誉的 URL 检测技术)
百度 URL 将收件人的浏览器重定向到一个凭据收集网站(即:可以规避其他无法进行深度链接检查的电子邮件安全防御系统)
在已遭到攻击者入侵的合法网站上托管凭据收集器(即使使用深度链接检测,也会再次尝试绕过基于信誉的 URL 检测技术)
这种攻击手段利用了百度的高信誉和真实性,绕过了托管凭据收集器的真实主机/IP 的信誉。
虽然此次特定活动侧重于收集 Microsoft 凭据,但我们经常看到攻击者使用类似方法绕过品牌检测技术,并诱骗受害者下载恶意软件和其他恶意有效负载。
URL 重定向技术常见于网络钓鱼活动中,但威胁行为者正在通过滥用越来越多的合法域名(如 baidu.com、bing.com、goo.gl 等。Cloudflare 众多的检测功能让我们能够使用各种重定向技术对 URL 进行深度链接检查,包括那些滥用合法域名的技术。
SPF、DKIM 和 DMARC 如何?
电子邮件身份验证(特别是 SPF、DKIM 和 DMARC)经常被提及为可有效防止品牌假冒的标准:这些标准有助于验证服务器和租户的来源、保护消息完整性、提供策略执行等。
然而,攻击者仍然可以找到绕过身份验证的方法来欺骗电子邮件套件;实际上,我们发现 89% 有害邮件“通过了”SPF、DKIM 和/或 DMARC 检查。
电子邮件身份验证的一些局限性包括:
SPF (发件人策略框架) |
主要优势: 验证服务器来源(即:验证消息的来源) 定义哪些电子邮件服务器和服务被允许代表域名所有者发送消息 |
---|---|
限制: 无法阻止仿冒电子邮件、域名或显示名称欺骗 不验证“From”标头;使用信封“发件人确定发送域 当电子邮件被转发或发送到邮件列表的消息发送给每个订阅者时,验证无效 SPF 评估流程可以限制为一定数量的 DNS 查找 无法抵御使用嵌入式 URL、恶意有效负载或恶意附件的“已验证”电子邮件发起的攻击 |
|
DKIM (域名密钥识别邮件) |
主要优势: 提供租户来源验证(即:检查电子邮件是否为域名所有者通过数字签名发送/授权) 确保电子邮件在服务器之间传输时不会遭到篡改;保护信息完整性 |
限制: 无法阻止仿冒电子邮件、域名或显示名称欺骗 无法防范重放攻击(DKIM 只对邮件的特定部分进行签名。攻击者可以在通过 DKIM 的邮件中添加其他标头字段,然后将这些邮件转发)。 无法抵御使用嵌入式 URL、恶意有效负载或恶意附件的“已验证”电子邮件发起的攻击 |
|
DMARC(基于域的邮件身份验证、报告和一致性) | 主要优势: 提供适用于 SPF 和 DKIM 的策略执行和报告 规定电子邮件未通过 SPF 或 DKIM 验证时应遵循的策略(例如,拒绝/删除、隔离、无策略/发送) 报告功能,让域名所有者能够了解谁代表他们发送了电子邮件(即,防止域名假冒和品牌滥用) |
限制: 无法阻止假冒其他品牌的域名 无法阻止仿冒电子邮件、域名或显示名称欺骗 域名所有者指定适用于邮件 DMARC 策略的百分比;低于 100% 的应用百分比效果较差 无法抵御使用嵌入式 URL、恶意有效负载或恶意附件的“已验证”电子邮件发起的攻击 |
结论
攻击者的战术不断更新变化。在邮件到达收件箱之前、期间和之后,必须实施多重保护。Cloudflare 绝不会一成不变地“信任”任何类型的电子邮件通信(无论它看起来是来自内部、外部还是“已知的”业务合作伙伴)。
同样,我们建议,最重要的是所有组织都将“永不信任,始终验证”的 Zero Trust 安全模型不仅推广到网络和应用,还要扩展到电子邮件收件箱。
除了使用 Zero Trust 方法确保电子邮件安全之外,我们还建议:
通过多种反网络钓鱼控制措施来增强云电子邮件。正如 6 月的这篇 Forrester 博客所述,“跨多个设备使用消息传递、协作、文件共享和企业软件即服务应用,都有助于提高员工的工作效率和体验。许多这样的环境都认定成‘封闭的’,但如果一个仿冒供应链合作伙伴凭据的网络钓鱼攻击成功,就会使企业面临数据丢失、凭据被盗、欺诈和勒索软件攻击。为电子邮件收件箱开发的保护措施必须覆盖到这些环境,并贯穿员工的日常工作流程。”
采用反网络钓鱼的多因素身份验证 (MFA)。虽然并非所有 MFA 都能提供相同的安全层,但硬件安全密钥是防止网络钓鱼攻击得逞的最安全身份验证方法之一。即使攻击者成功获得用户名和密码,MFA 也可以保护网络。
让人类更难犯错。通过使员工和团队已经使用的工具更加安全并防止他们犯错,从而满足员工和团队的需求。例如,远程浏览器隔离(远程浏览器隔离)技术与云电子邮件安全集成时,可以自动隔离可疑的电子邮件链接,防止用户接触潜在的恶意 Web 内容。也可以在不受信任的网站上禁用键盘输入,以防止用户在表单填写或凭据收集中意外输入敏感信息。通过有效地允许用户安全地打开链接,而不会中断其工作流程,这提供了一层针对多渠道网络钓鱼的防御。
如果您有兴趣了解完整的调查结果,可以在此处下载《2023 年网络钓鱼威胁报告》,以及防止网络钓鱼攻击得逞的 Cloudflare 建议。如果您想了解 Cloudflare 电子邮件安全产品的实际应用,可以访问此处,申请免费的网络钓鱼风险评估。