欧洲刑警组织揭秘鱼叉式网络钓鱼攻击背后成功方法论

新报告中,欧洲刑警组织称:鱼叉式网络钓鱼依然是大多数网络罪犯的主要攻击方法。

65% 的针对性攻击组织将鱼叉式网络钓鱼作为其主要感染途径,32% 的数据泄露涉及网络钓鱼。2018 年间,0.55% 的入站电子邮件是网络钓鱼邮件,网络钓鱼出现在 78% 的网络间谍事件中。

为缓解网络犯罪,欧洲刑警组织成立了金融服务、通信提供商和互联网安全咨询小组。欧洲刑警组织与这些咨询小组中的私营产业合作伙伴会晤,讨论行业特定的网络犯罪威胁与趋势,推动联合公/私行动计划的发展与合作。

2019 年 3 月的两天多时间里,70 个全球金融机构、互联网安全公司和电信提供商聚集在一起,共享有关网络钓鱼的真知灼见。日前,欧洲刑警组织公布了此次会议的结果,以独特的司法-行业视角解析鱼叉式网络钓鱼威胁。

欧洲刑警组织欧洲网络犯罪中心 (EC3) 主任 Steven Wilson 评论道:

鱼叉式网络钓鱼极大推动了某些最为严重的网络犯罪形式,特别是勒索软件,可真正伤害欧洲的公民和企业。我们只能通过与产业界主要合作伙伴紧密协作,来有效应对这种规模的威胁。EC3 咨询小组和这份报告是我们持续合作对抗网络犯罪威胁的反映。

该报告很大程度上无视了基于垃圾邮件的广撒网式网络钓鱼活动。这些更容易被检测和封锁。针对特定个人的基于侦察的针对性攻击就是另一回事了。问题在于,侦察阶段十分简单,几乎无需任何技术专长。通常,网络钓鱼者的数据有两个来源:首先,目标公司自己的网络存在;其次,网络钓鱼目标社交媒体账户上的个人信息。

公司贴出的招聘职位就是一种重要的数据来源。典型的职位空缺通知不仅描述了公司里特定职位的任务和责任(过程),还包含了该职务的上下级关系(结构),以及所需的技能和知识(软件)。攻击者可从社交媒体账户上获悉个人兴趣爱好和目标对象的同事交往关系。再加上目标的电子邮件地址,攻击者就可以上演一场胜券在握的鱼叉式网络钓鱼攻击了。而电子邮件地址这种东西,通常可以从 LinkedIn、hunter.io 等服务上轻松获取或猜到。

攻击过程包括说服目标该电子邮件来自可信源或可信人士。这意味着从属于该公司的电子邮件地址发送钓鱼邮件(商务电邮入侵 (BEC) 及其新变种供应商电子邮件入侵攻击的基础),或者从相似虚假域名的邮件地址发送钓鱼邮件。电子邮件本身要么试图重定向收件人到网络钓鱼网站(寻求收集凭证或投送恶意软件),说服收件人下载并打开恶意文件;要么直接带有让收件人打开的武器化附件。

现在 48% 的恶意附件是 Office 文档,会包含基于宏的无文件攻击,不会在终端上留下可被反恶意软件特征引擎检测到的恶意文件。此类攻击中,精心编制的电子邮件内容完全是为了说服收件人认可该电子邮件并允许执行宏。

欧洲刑警组织认为,防御鱼叉式网络钓鱼需结合技术解决方案和用户意识。技术解决方案由策略和软件组成。策略解决方案包含禁用未经审核的宏和采用双因子身份验证;也包含更为复杂的策略,比如在 DNS 中设立发送方策略框架 (SPF) 和实现域消息身份验证报告与一致性 (DMARC)。后者是广泛推广的网络钓鱼(更具体讲是涉及公司自有品牌的网络钓鱼)解决方案,但截至目前仅有零星采用。

欧洲刑警组织在 2019 年 10 月发布的《2019 互联网有组织犯罪威胁评估》报告称,“一份研究表明,DMARC 采用在 80% 的公司企业中都不存在。”而若无广泛采纳,DMARC 就不能对网络钓鱼问题提供有效防御。

该报告并未强调任何特定反网络钓鱼软件解决方案,但列出了此类产品具有的一些功能,且公司企业也可以直接使用这些功能。其中包括用域阻止列表封锁已知恶意 IP 地址,阻止要求凭证或其他个人信息的电子邮件等。报告还指出,人工智能和机器学习的持续进步,有助优化成功检测和过滤复杂网络钓鱼攻击。但值得注意的是,有一派观点认为,机器学习不会是鱼叉式网络钓鱼的最佳解决方案,因为算法学习的数据池太小了,达不到所需的准确性。该观点并不普遍。

鱼叉式网络钓鱼的用户意识解决方案更为盛行。该方案列出可教用户识别的网络钓鱼线索类型。

可通过用真实案例场景系统性攻击用户来达成意识教育,方法是以网络钓鱼模拟攻击(网钓自家员工)结合根据员工点击率 (CTR) 采取的后续步骤(增加良好表现者的难度,为其他员工提供针对性指导)。

毫无疑问,针对现有产品的 “模拟网络钓鱼” 市场正快速扩张。尽管如此,GetApp 在 2019 年 9 月的调查发现,仅 30% 的公司企业对员工进行网络钓鱼测试。而且,也不清楚改进网络钓鱼培训方案是否会引入新的问题。Agari 的报告显示,用户上报的网络钓鱼尝试增长速度远超安全人员的处理能力。很多此类网络钓鱼尝试报告都是误报,但仍需要加以调查。随着安全人员分拣这些报告的时限压力不断增加,真正的网络钓鱼尝试趁虚而入的风险也增大了。

使用自动化网络钓鱼培训的危险在于,可能会迫使用户上报哪怕最微小的可疑之处。事实上,欧洲刑警组织的报告强调:如果有所怀疑,可疑邮件应作为附件转发给目标公司的专用联络点。

因为用户未必知道这是真正的网络钓鱼还是有意的模拟网络钓鱼,他/她可能会出于对未通过测试的恐惧而将此邮件标记为网络钓鱼。

尽管有策略、技术和培训解决方案帮助缓解鱼叉式网络钓鱼威胁,但没有哪种方式是万无一失的。鱼叉式网络钓鱼可能已经成为公司企业面临的主要威胁,而且还将继续深化发展。很明显,在报告的最后一部分,欧洲刑警组织看起来几乎是在给自己找借口了。GDPR 生效后无法再使用的 WHOIS 数据是该组织的顾虑之一。

司法机构、公共安全部门和网络安全研究人员无法再直接使用 WHOIS 信息。这极大伤害了公共利益、网上法治,妨碍调查和阻止网络罪犯的鱼叉式网络钓鱼活动。

欧洲刑警组织发布的网络钓鱼司法角度解读报告:

https://www.europol.europa.eu/sites/default/files/documents/report_on_phishing_-_a_law_enforcement_perspective.pdf

欧洲刑警组织《2019 互联网有组织犯罪威胁评估》报告:

https://www.europol.europa.eu/sites/default/files/documents/iocta_2019.pdf

上一篇:针对医院的网络攻击致心脏病死亡率上升

下一篇:最终议程!EISS-2019企业信息安全峰会之上海站