隨著我們邁入新的一年，2014年也已塵埃落定，讓我們從網(wǎng)絡釣魚的方面回顧一下2014年。如果你一直關注博客，你會了解到我們一直在分析PhishME員工接收的釣魚郵件。2014年，我們觀察到最有趣的網(wǎng)絡釣魚發(fā)展趨勢是什么?雖然攻擊者不斷地使用新型惡意軟件來武裝釣魚郵件，但絕大多數(shù)釣魚郵件還是使用過時的重復的內容。

??

[[126904]]

十大釣魚攻擊

基于這一趨勢，2014年最佳釣魚郵件的排名可能聽起來沒那么吸引眼球，但它們使用重復的內容并不意味著我們沒有收到許多有趣的釣魚攻擊：

10.傳真通知釣魚：歷久彌新，屢試不爽

??

傳真機可能看起來像VH1電視臺播放“我愛90年代”迷你劇中的東西一樣陳舊，但傳真通知卻一直是釣魚郵件中流行的主題。本文討論的許多攻擊都使用傳真主題的釣魚郵件，最近我們接收多次以傳真為主題的發(fā)送更新版Dyre木馬的釣魚攻擊，與一次以Upatre惡意軟件為主角的攻擊。在Upatre木馬下載器的事例中，釣魚郵件的內容幾乎和普通eFax釣魚的內容一樣，但是惡意軟件背后的技術手段卻是最前沿的。

9..Net 按鍵記錄器：密碼一鍵記錄，忘記密碼請@我

??

[[126905]]

該攻擊以一份普通的銀行業(yè)務主題的釣魚郵件為開始，其中郵件攜帶一個zip附件。這個惡意軟件被證實是一個.NET鍵盤記錄器，它可以提取存儲在瀏覽器與其他媒介中的密碼。相當要命喲!

8.律師消息：傳說中隔壁家的老王

??

[[126906]]

早在2014年春天，我們接受一份自稱鄰居發(fā)送的釣魚郵件。而這位鄰居通過郵件發(fā)送一個zip文件，聲稱文件包含來自收件人律師的敏感信息。為什么你的鄰居會通過郵件向你發(fā)送來自律師的zip文件?這是一個非常有用問題，也是一個值得深究的問題，因為這個zip文件包含惡意的可執(zhí)行程序。

7.勒索軟件釣魚：立交贖金，否則撕票

??

[[126907]]

回到2014年5月，我們接收到一輪網(wǎng)絡釣魚，偽裝成MAILER-EAEMON郵件投遞失敗的通知，引誘收件人運行Cryptolocker變種的安裝程序。幾周后，我接收到傳真主題的釣魚，它也會導致收件人中招Cryptolocker。通過檢查攻擊者的比特幣錢包，我們發(fā)現(xiàn)他們收取的贖金超過13w美元(比去學校門口敲詐小學生靠譜多了)。

6.攜帶PDF漏洞利用的ADP郵件：事關糊口，誰能不緊張

??

[[126908]]

由于這些郵件讓攻擊者有種高高在上的感覺，并且可以激發(fā)收件人的各種情緒，如緊迫、恐懼及貪婪，工資主題的釣魚郵件就變得非常普遍。ADP釣魚有什么特別的地方嗎?那就是它攜帶了PDF漏洞利用，可以在PDF閱讀器插入shellcode。為了讓分析變得復雜，攻擊者使用多層zlib壓縮與難覓蹤跡的變量名。

科普：

ADP是全球最大的業(yè)務處理及云端解決方案提供商——服務涵蓋薪資處理、人才管理、人力資源管理、福利管理和考勤管理。

5. 稅務局數(shù)據(jù)錄入釣魚：吃到嘴里的肉，甭想吐出來

??

[[126909]]

冒充美國征稅機構是一個屢試不爽的策略。自2014年8份以來，此類型的釣魚郵件利用收件人獲得退稅的激動心情，鏈接到收件人為退稅填寫支付信息的頁面，假設收件人會在釣魚頁面上輸入登錄憑證。在對釣魚頁面執(zhí)行開源情報分析后，我們發(fā)現(xiàn)相同文檔的使用可以追溯到2006年。

4. “榮耀歸于烏克蘭”釣魚：巧打政治同情牌

?
?

話說2014年7月，Dyre新品種新鮮出爐，打包為宣稱含有屏幕保護程序的zip文件。這款惡意軟件非常有意思，但是釣魚郵件?釣魚郵件是一個簡單傳真通知，被發(fā)送到PhishMe一個高級管理人員。

3.利用攻陷的edu域名傳播宙斯(ZeuS)病毒：請還學校一片凈土

??

[[126910]]

2014年10底，我們接收到一份很普通的網(wǎng)絡釣魚郵件，包含著宣稱是支付消息的附件。這個附件實際上包含一種宙斯(Zeus)病毒。為什么它可以榜上有名?因為攻擊者從被攻陷的edu域名發(fā)送郵件。教育機構域名受人信任的特點與這些域名通常具有可觀的免費帶寬為攻擊者提供了非常有吸引力的惡意軟件傳播平臺。

2.Dropbox 釣魚：欲愛不能，欲罷難休

??

[[126911]]

像Dropbox的第三方云服務提供商的崛起為攻擊者提供一種在網(wǎng)絡中傳播污穢消息的新穎的手段。在2014年6月份一大波作為Dyre木馬先頭部隊的郵件中，我們接受到鏈接到Dropbox上所謂的發(fā)票文件。雖然Dropbox鏈接本身是合法的，但它指向一個zip文件，其中包含scr文件，而不是發(fā)票。Dropbox已經(jīng)迅速禁止這類型的濫用，可事實證明，攻擊者有大把的方法來繞過垃圾郵件過濾器。Dropbox的使用十分普遍，致使大多數(shù)組織不能夠禁止Dropbox連接。幾周后，我們在針對中國臺灣政府的目標式攻擊看到了濫用的Dropbox連接。

1. 攜帶Dyre惡意軟件的郵件：平凡之中的不平凡

??

[[126912]]

2014年最臭名昭彰的釣魚郵件咋一看似乎很無辜。實際上，我們接收到兩份包含未知惡意軟件的郵件，郵件中的鏈接指向到第三方文件共享服務提供商Cubby。郵件內容本身是平淡無奇的，其中一份郵件指示收件人打開發(fā)票的鏈接，而另一份郵件內容更寬泛些，指示收件人打開詳細了解有關納稅失敗的鏈接。這兩份郵件均指向當今臭名遠揚的惡意軟件Dyre，一個針對銀行信息和客戶數(shù)據(jù)的遠程訪問木馬(RAT)。Dyre的危害影響廣泛，已引起美國計算機應急響應小組(US CERT)的注意。

如果我們從2014年的網(wǎng)絡釣魚僅了解到一件事，那就是網(wǎng)絡釣魚攻擊者不斷重復(一點創(chuàng)新意識都沒，這年頭制作棉花糖的大爺都與時俱進了，附贈棉花糖一份，搶到沙發(fā)請與客服聯(lián)系)。這點有助于我們在未來防御網(wǎng)絡釣魚。盡管安全行業(yè)一直側重于IP地址和惡意軟件，我們也應該關注策略、技術及協(xié)議。聚焦于郵件內容、頭部及URL，提煉相應的模式，并采取預防性的措施，可以提供多一層的網(wǎng)絡釣魚的防護。

參考信息來源：??http://phishme.com/top-10-phishing-attacks-2014/??