網(wǎng)絡(luò)釣魚是一種常見攻擊方法，對此，企業(yè)信息安全團(tuán)隊一直在教育用戶關(guān)于打開可疑電子郵件和附件的危害。

現(xiàn)在的網(wǎng)絡(luò)釣魚攻擊者非常善于創(chuàng)建極具吸引力的誘餌，專家稱單靠教育用戶已經(jīng)無法阻止這種最復(fù)雜的網(wǎng)絡(luò)釣魚攻擊。

案例分析：本周高級威脅檢測供應(yīng)商FireEye揭露了一個攻擊者團(tuán)伙FIN4，該團(tuán)伙自2013年中以來已經(jīng)攻擊超過100家企業(yè)。根據(jù)FireEye的報告顯示，F(xiàn)IN4主要專注于攻擊高級用戶的賬戶信息，這些用戶知道企業(yè)兼并重組、重大消息和其他尚未發(fā)生的重要事件，他們的潛在目標(biāo)是利用竊取的信息來在股市上獲得豐厚的利潤。

新的復(fù)雜網(wǎng)絡(luò)釣魚攻擊

雖然對于攻擊者來說，特別是那些由民族國家支持的攻擊者，瞄準(zhǔn)正在進(jìn)行并購交易的企業(yè)是很常見的事情，而FIN4與眾不同之處在于該組織用來繞過企業(yè)安全措施時使用的網(wǎng)絡(luò)釣魚誘餌非常復(fù)雜。其一，F(xiàn)IN4的網(wǎng)絡(luò)釣魚郵件顯現(xiàn)出英語國家居民水平的英語語言命令，這是大多數(shù)其他網(wǎng)絡(luò)釣魚郵件所缺少的方面。

FIN4還能夠使用針對性的語言來瞄準(zhǔn)特定組織或者個人，增加誘出所需回復(fù)的可能性。例如，F(xiàn)ireEye報告記錄了該團(tuán)伙的網(wǎng)絡(luò)釣魚活動被模擬為舉報人式的電子郵件，告知企業(yè)高管有員工涉嫌泄露私有業(yè)務(wù)事宜到網(wǎng)上。

威脅情報反釣魚供應(yīng)商PhishLabs主管Don Jackson稱，F(xiàn)IN4執(zhí)行中涉及的細(xì)節(jié)是典型的頂級“捕鯨”攻擊，即企業(yè)個人被指控涉嫌魚叉式釣魚攻擊，因為他們持有價值信息或者在企業(yè)內(nèi)具有影響力。

Jackson表示，F(xiàn)IN4攻擊者費了很多力氣來確保他們的網(wǎng)絡(luò)釣魚計劃中使用的誘餌會讓特定目標(biāo)感興趣。在某些情況下，他指出該團(tuán)伙只是簡單地利用合法文檔，在其中插入了惡意Visual Basic for Application(VBA)宏來搜集賬戶信息，使得更容易欺騙不知情的最終用戶。

“FIN4攻擊者表現(xiàn)出很多的制度能力，他們了解在他們試圖滲透的環(huán)境中人員和系統(tǒng)如何交互的術(shù)語和流程、經(jīng)驗，并明白有針對性資產(chǎn)的特定價值，”Jackson表示，“如果目標(biāo)的價值如實，我們會看到誘餌是完美和經(jīng)得起考驗的。”

發(fā)給企業(yè)高管的FIN4網(wǎng)絡(luò)釣魚電子郵件

FIN4并不是唯一的高級網(wǎng)絡(luò)釣魚者

雖然FIN4使用的網(wǎng)絡(luò)釣魚手段毫無疑問很復(fù)雜，但Jackson也警告企業(yè)，他們并不是利用這種手段的唯一攻擊者。

例如，Jackson表示最近的US-CERT公告介紹了在最近的網(wǎng)絡(luò)釣魚活動中所使用的Dyre/Dyreza銀行惡意軟件。US-CERT稱，這些釣魚攻擊針對不同的個人使用了不同的誘餌，包括換出附件、有效載荷和主體，不過釣魚者特別喜歡利用惡意PDF附件來瞄準(zhǔn)過時版本的Adobe Reader軟件。

Dyre惡意軟件本身不僅能夠收集賬戶信息，還可以監(jiān)控企業(yè)網(wǎng)絡(luò)流量和繞過Web瀏覽器中的SSL機(jī)制。相較于Dyre和高級網(wǎng)絡(luò)釣魚攻擊中常見的遠(yuǎn)程訪問木馬程序，Jackson表示，F(xiàn)IN4利用的VBA宏實際上相當(dāng)簡陋，并可能導(dǎo)致該團(tuán)伙被檢測。

“FIN4電子郵件的水平讓我想起Dyre背后的攻擊者針對一些大型金融機(jī)構(gòu)和投資公司所使用的電子郵件，”Jackson表示，“最近攻擊者通過電子郵件進(jìn)行的電匯發(fā)票詐騙也顯現(xiàn)了類似的針對性和偵察水平。這些攻擊者也具有顯著的制度能力，但沒有表現(xiàn)出于FIN4攻擊相同的執(zhí)行技巧。”

抵御高級釣魚攻擊

對于企業(yè)應(yīng)該如何防御這種高級網(wǎng)絡(luò)釣魚攻擊，Jackson稱，反釣魚措施也逐漸成為一種“智力游戲”， FIN4和其他攻擊團(tuán)伙顯示的多樣化功能、操作復(fù)雜性和決心，都意味著企業(yè)不能只靠用戶教育來抵御攻擊。

Jackson表示，企業(yè)應(yīng)該收集FireEye在其報告中提到的誘騙郵件和攻擊指標(biāo)的數(shù)據(jù)，并可以對這些數(shù)據(jù)進(jìn)行分析以確定攻擊者如何執(zhí)行攻擊、是否使用惡意軟件以及哪些軟件被瞄準(zhǔn)。

“這樣一來，企業(yè)就可以調(diào)整風(fēng)險管理和安全態(tài)勢，而有針對性的個人也可以得到提前警告，”Jackson表示，“還可以了解威脅攻擊者的足夠信息，以更有效地應(yīng)對威脅。”