网络钓鱼攻击比以往更恶劣的10个原因

网络钓鱼攻击比以往更恶劣的10个原因

几十年来,网络钓鱼邮件一直是计算机世界的祸害,甚至连我们打击它们的最佳努力都失败了。我们大多数人可以很容易地发现他们的主题行和删除甚至没有打开。如果我们不能完全确定并最终打开它们,我们可以立即通过其过于正式的问候、外国血统、拼写错误和过分关心的努力来识别网络钓鱼企图,向我们发送数百万美元的不义之财或向我们销售可疑产品。大多数情况下,钓鱼企图是一个小威胁,我们解决了一个删除键。

进入网络钓鱼:一个有针对性的网络钓鱼方法,被证明是邪恶的有效,甚至对最老练的安全专业人士。为什么?因为它们是由有思想的专业人士精心制作的,他们似乎了解你的业务、你当前的项目、你的兴趣。他们不会向你兜售任何东西或声称有钱送人。事实上,如今的网络钓鱼企图远比单纯的金融盗窃有更多的险恶目标。

下面我们来看看是什么让当今最复杂的网络钓鱼尝试与众不同——以及如何避免成为他们进步的牺牲品。

传统上,网络钓鱼邮件是由低端骗子创建的,他们选择了一种不切实际的方式:将一条草率的邮件和垃圾邮件拼凑在一起。你一定会找到人的。事实上,越明显的网络钓鱼企图,越好,因为这将确保诱捕最容易上当受骗。

一路上的某个地方发生了变化。职业罪犯和有组织犯罪意识到发送更好的垃圾邮件可以赚很多钱。布莱恩·克雷布斯(Brian Krebs)2015年的畅销书《垃圾邮件之国》(Spam Nation)追溯了俄罗斯职业犯罪团伙的崛起,这些团伙每年获利数千万美元,支持多家大型公司,其中一些公司假装合法,并在证券交易所交易。

然后,民族国家加入了这场游戏,意识到一些精心编制的电子邮件可以帮助他们绕过最艰难的防御,只需针对正确的员工。如今,绝大多数高级持久性威胁(apt)通过发送几封电子邮件,在受害公司内获得了第一个立足点。

今天的职业网络罪犯工作9到5天,交税,周末和节假日休息。他们工作的公司通常有几十到几百名员工,向当地执法部门和政界人士行贿,而且往往被视为所在地区的首选雇主。为闯入其他国家公司的公司工作,常常被骄傲地当作爱国徽章佩戴。

这些专业的黑客作坊实行分工。营销团队通常由高管领导,寻找愿意花钱入侵某个特定公司获取信息的客户,尽管工厂通常会攻击任何一家特定的公司,然后再营销这些信息。

研究和监视团队收集有关目标公司的组织结构、业务合作伙伴、可访问互联网的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站并进入其一些受保护较弱的商业合作伙伴,获取了大量此类信息。

这项研究被传递给一个最初的妥协者团队,他们在目标组织内部建立了锚。这个团队是工厂里最重要的团队,它被分成几个熟练的小组,每个小组专注于一个特定的领域:打入服务器、发动客户端攻击、执行社会工程攻击或网络钓鱼。网络钓鱼团队与研究团队携手合作,将相关主题和项目与他们的样板电子邮件模板组合在一起。

还有其他球队。后门团队在初始登录安全后加入,通过插入后门特洛伊木马、创建新用户帐户和清空受损组织中的每个登录凭据,帮助确保将来轻松进入。

然后,像任何一家好的咨询公司一样,一个长期的团队致力于这个“客户”,这个团队寻找重要的信息,详细说明组织的结构和重要人物。在很短的时间内,他们就知道公司的每一个防御系统以及如何绕过它。当一些新项目或大数据上线时,这个团队是最先知道的。任何可能感兴趣的信息都会被复制,以便妥善保管和将来出售。

如果这听起来和一个在网吧里草率地写一封电子邮件的孩子有点不同的话é, 你就会知道为什么今天的网络钓鱼尝试要有效得多。这是一份通过面试获得的日工,有薪水、福利和项目奖金。它甚至还附带了保密协议、人事纠纷和部门政治。

别搞错了:网络钓鱼邮件变得很专业。

今天的网络钓鱼邮件通常来源于你每天发邮件的人,而不是尼日利亚王子。他们通常看起来是来自老板、团队领导或其他管理层的权威人士,以确保受害者打开电子邮件,并且更有可能按照电子邮件所说的去做。

电子邮件可能来自外部,声音相似的电子邮件帐户,意思是类似于权威人士的个人电子邮件帐户。毕竟,谁还没有收到一封同事发来的与工作有关的电子邮件,而这封邮件是无意中使用了自己的个人账户?我们认为这是一个普遍的错误。

它可能来自一个流行的公共电子邮件服务器(Hotmail、Gmail等)上一个听起来很像的帐户名,发送者声称正在使用这个以前未知的帐户,因为他们被锁在工作电子邮件之外。再说一遍,谁以前没经历过?

但更有可能的是,虚假的钓鱼电子邮件似乎是从对方的真实工作电子邮件地址到达的,这要么是因为钓鱼组织能够从外部发送虚假的电子邮件原始地址,要么是因为它成功地泄露了对方的电子邮件帐户。后者正在成为最流行的攻击方法——谁不点击老板发来的链接?

许多网络钓鱼受害者成为这样一个事实的牺牲品:恶意发送者似乎知道他们在做什么项目。这是因为网络钓鱼者花了很多时间来研究他们,或者已经控制了一段时间的同事的电子邮件帐户。电子邮件可能会包含一个主题行,如“这是您一直在等待的XYZ上的报告”,或“这是我对您发送的报告的编辑”,并附上最初由收件人发送的报告副本,但带有更新的autolaunch恶意链接。它也可能暗指一个项目的可行性,问:“你认为这会影响我们的项目吗?”或惊呼“有人打败我们!”链接到与项目相关的恶意新闻文章。

我看到过一些邮件,声称是律师给离婚的人寄来的,他们要求增加子女抚养费。我看到过一些专业组织的领导发来的钓鱼邮件,发到他们的会员名单上。我见过一些发给C级官员的电子邮件,声称有未决诉讼信息,要求接收者运行可执行文件来“解锁”附带的机密PDF文件。我看到有人向IT安全专家发送虚假的更新,声称其中包含一个供应商提供的关于他们最近购买和安装的产品的安全更新。

邮件主题和正文内容不是“看这个!”普通的诡计。不,今天的网络钓鱼邮件来自某个你信任的人,他正在你的项目中工作。当你读了其中的几篇之后,你开始希望我们所要担心的只是假死的亲戚和伟哥广告。

这些天,公司攻击者正在监视你公司的几十个电子邮件帐户。在这里,他们可以获得必要的背景来愚弄你的同事,他们可以监控你公司中最敏感和最有价值的信息。

如果你发现你的公司被泄露了,假设所有的C级员工和VIP电子邮件账户都被泄露了,而且已经泄露了很长时间。即使是坏人可能被发现的初步报告也可能在他们眼前。他们知道你知道什么。

当面对这种对手时,唯一的解决办法就是建立一个完全“带外”的网络,包括全新的电脑和新的电子邮件帐户。其他任何事情都可能是浪费时间。

今天的对手不仅仅是一个被动的读者。当需要的时候,他们会截取和更改电子邮件,尽管是轻微的。是的决定可能变成否;不可能变成是。有时,关键收件人将从电子邮件的收件人列表中删除。可以添加更多接收器。可以修改电子邮件组。加密和签名可能已关闭。

在我读过的一个最臭名昭著的例子中,一家公司知道它被APT严重破坏了。为了恢复网络,服务台发了一封电子邮件,要求每个收件人更改他们的密码。当然,这会使恶意入侵者更难逗留——只是入侵者控制了服务台的电子邮件帐户。就在电子邮件发送之前,入侵者更改了嵌入的链接,这样用户就可以访问由入侵者控制的公司密码更改网站的完美副本。用户遵循帮助台的指示,但这样做允许入侵者捕获每一个密码更改。

几十年来,网络钓鱼电子邮件使用日常恶意软件工具作为附件。今天,他们使用定制的工具,伪造和加密明确为您,或程序内置到您正在运行的操作系统。结果是一样的:你的反恶意软件扫描器不拿起恶意文件或命令。当坏公司出现在你的网络上时,他们会小心地只运行相同的公司。

用受害者的内置脚本语言(PowerShell、PHP等)编写的恶意脚本正迅速成为首选工具。PowerShell甚至出现在恶意软件工具包中,最终只生成PowerShell恶意软件程序,这在这里和这里都有证明。

助长这一趋势的是,反恶意软件,甚至是法医调查人员,很难确定一个合法的工具是否被用于邪恶的目的。以远程桌面协议(RDP)连接为例。几乎每个管理员都使用它们。当坏人也这样做时,很难确定RDP连接何时在做恶意的事情。不仅如此,如果不删除好人清理系统所需的工具,就很难删除合法工具来阻止攻击者。

恶意软件使用随机选取的端口从网络上复制数据的日子早已一去不复返了。使用普遍保留的端口(如IRC端口6667)远程发送命令和控制恶意创建的日子也一样。