近年來釣魚攻擊成為主要安全威脅，成功利用釣魚郵件對安全企業(yè)(例如Oak Ridge和RSA等)造成的數(shù)據(jù)泄漏攻擊為我們敲響了警鐘，一些專家嗤之以鼻的低技術(shù)含量攻擊方法也可能造成嚴(yán)重威脅。

美國能源部研究實驗室Oak Ridge近日宣布在發(fā)現(xiàn)在其網(wǎng)絡(luò)中存在數(shù)據(jù)竊取惡意軟件程序后，已經(jīng)關(guān)閉了所有互聯(lián)網(wǎng)訪問和電子郵件服務(wù)。

根據(jù)該實驗室表示，這次數(shù)據(jù)泄漏事故源于一封被發(fā)送給570名員工的釣魚攻擊郵件。這封電子郵件偽裝成該實驗室的人力資源部門的通知，當(dāng)一些員工點擊嵌入在電子郵件中的鏈接后，惡意程序就被下載到他們的電腦中。

這個惡意程序利用了微軟IE軟件中未修復(fù)的漏洞，并且目的是搜尋和竊取該實驗室的技術(shù)信息，該實驗室的工程師們正在努力研制世界上最快的超級計算機。

Oak Ridge實驗室的官方發(fā)言人形容這次攻擊與安全供應(yīng)商RSA遭受的攻擊非常類似。

RSA數(shù)據(jù)泄漏事故導(dǎo)致了RSA公司的SecurID雙因素認(rèn)證技術(shù)信息的被竊。而在本月初Epsilon發(fā)生的數(shù)據(jù)泄漏事故也被懷疑是有針對性的釣魚攻擊行為，這次事故是有史以來設(shè)計最多電子郵件地址的事故。

分析家表示，攻擊者能夠利用低技術(shù)含量、假冒電子郵件的方法來滲透入這些受到良好保護的企業(yè)表明了有針對性的釣魚攻擊日益成熟，并且存在這樣的趨勢，企業(yè)認(rèn)為單靠教育員工就能夠緩解這個問題。

“這并不讓我感到驚訝，” 安全公司Invincea公司創(chuàng)始人Anup Ghosh表示，“幾乎每個公開的和發(fā)表聲明的高級持續(xù)性攻擊都是通過釣魚郵件開始的。”

事實上，現(xiàn)在這類郵件似乎成為攻擊者非法進入企業(yè)網(wǎng)絡(luò)的首選方法，他表示。

“你需要做的就是設(shè)立一個電子郵件目標(biāo)，你只需要通過幾次電機就能夠在企業(yè)內(nèi)部建立幾個存在點，”Ghosh表示，“如果你企業(yè)有1000名員工，并且你教育他們不能打開不可信任的附件，還是會有那么幾個人會打開。這并不是訓(xùn)練可以解決的問題。”

讓問題更嚴(yán)重的就是釣魚攻擊越來越復(fù)雜，分析師指出。

越來越多的有組織的攻擊團隊開始使用精心設(shè)計的電子郵件來針對高層管理人員以及企業(yè)內(nèi)部他們想要攻擊的員工。在很多情況下，釣魚郵件都是個性化的、本地化的，并且設(shè)計得好像是來自可信任來源一樣。

Ghosh表示，他上周就收到過類似的郵件。郵件發(fā)送到他的個人郵箱，看起來是一個好朋友發(fā)過來的郵件，包含一個能夠打開朋友的女兒生日派對照片的鏈接。郵件甚至還包含朋友女兒的名字。

郵件被標(biāo)記為紅色，但是Ghosh在點擊鏈接后才發(fā)現(xiàn)紅色標(biāo)記。“隨便看一眼就已經(jīng)能夠說服我去點擊鏈接，”他表示。

Spire Security公司的分析師Pete Lindstrom表示，“最近很多攻擊都是使用某種形式的釣魚攻擊，這個十分令人擔(dān)憂，我們總是很容易在一些安全基礎(chǔ)環(huán)節(jié)掉鏈子。”

公司必須定期記錄和監(jiān)測網(wǎng)絡(luò)是否存在這種釣魚攻擊造成的數(shù)據(jù)泄漏，他表示。

在釣魚攻擊中，企業(yè)必須更注重響應(yīng)和遏制，而不僅僅是預(yù)防，Securosis公司分析師Rich Mogull表示。

在這種攻擊中，企業(yè)常常面對的是擁有豐富資源、耐心和資金的對手。通常情況下，這樣的對手都愿意不斷嘗試直到他們攻入系統(tǒng)網(wǎng)絡(luò)。“幾乎不可能阻止這樣的人。”

因此，IT安全人員應(yīng)該注重最大限度地減少損失，Mogull表示。舉例來說，企業(yè)應(yīng)該考慮將網(wǎng)絡(luò)進行區(qū)域劃分，并在關(guān)鍵設(shè)備以及數(shù)據(jù)間建立“空間間隔”，以確保入侵者更難進入網(wǎng)絡(luò)。

同樣重要的是，企業(yè)需要廣泛地監(jiān)控內(nèi)部網(wǎng)絡(luò)以確保數(shù)據(jù)沒有泄漏出去。

“有針對性的釣魚攻擊已經(jīng)不都是低技術(shù)含量的攻擊形式了，”Gartner公司分析師John Pescatore表示。

并且，越來越多來自社交網(wǎng)絡(luò)(例如LinkedIn和Facebook)的信息被用于釣魚攻擊，這使釣魚攻擊更難被檢測，他表示，“在這些社交網(wǎng)絡(luò)上，有很多個人信息和朋友的名單，從這些信息中并不難獲取非常私人的電子郵件地址，”Pescastore表示。

此外，網(wǎng)絡(luò)安全工作(特別是政府機構(gòu)和研究實驗室，如Oak Ridge)往往側(cè)重于諸如URL阻止等問題，以防止內(nèi)部員工訪問色情或者非法網(wǎng)站，而不是阻止可疑的入站郵件。

“這讓他們更容易受到攻擊，如果用戶點擊了釣魚郵件的話，這也是員工經(jīng)常發(fā)生的事情，”他表示，“25年試圖通過宣傳和教育來提升員工的安全意識的經(jīng)驗證明，這是無法杜絕的。”

【編輯推薦】

1. 賽門鐵克發(fā)布四月份垃圾郵件及釣魚攻擊現(xiàn)狀報告
2. Verizon數(shù)據(jù)泄漏報告2011：攻擊者改變他們的目標(biāo)
3. 利用假冒SSL證書的釣魚攻擊瞄準(zhǔn)信用卡服務(wù)品牌
4. 該如何判斷數(shù)據(jù)泄漏防護方案的可靠性
5. 賽門鐵克發(fā)布二月份垃圾郵件及釣魚攻擊現(xiàn)狀報告