通常情況下，您會(huì)不設(shè)防的打開(kāi)朋友、同事或者你認(rèn)識(shí)的人的郵件，對(duì)陌生人郵件還是有警惕性的。網(wǎng)絡(luò)攻擊者對(duì)這點(diǎn)也是心知肚明。因此，他們會(huì)利用您的電子郵件帳戶(hù)向您的朋友和同事發(fā)送攻擊。

在梭子魚(yú)最新的威脅監(jiān)測(cè)下, 我們正在關(guān)注一些被梭子魚(yú)Sentinel團(tuán)隊(duì)剖析過(guò)的真實(shí)賬戶(hù)所受到的攻擊。以下是我們發(fā)現(xiàn)的:

威脅的特征:網(wǎng)絡(luò)攻擊者入侵用戶(hù)的郵件帳戶(hù)并向用戶(hù)的同事和聯(lián)系人發(fā)送電子郵件。其中有一條虛假鏈接, 其包括一個(gè)假冒的 OneDrive 共享鏈接, 用于竊取憑證和入侵更多的帳戶(hù)。

具體案例: 在這第一個(gè)例子中, 網(wǎng)絡(luò)攻擊者是針對(duì)財(cái)務(wù)雇員的帳戶(hù)展開(kāi)。該雇員有可能點(diǎn)擊攻擊者的網(wǎng)絡(luò)釣魚(yú)鏈接, 提示他將其憑據(jù)輸入到假的 Outlook 登錄頁(yè)中。一旦他做到了這一點(diǎn), 攻擊者就有了自己的憑據(jù), 并可以使用它們?cè)L問(wèn)電子郵件帳戶(hù)。隨后, 網(wǎng)絡(luò)罪犯從入侵的賬戶(hù)向所有財(cái)務(wù)小組的成員發(fā)出電子郵件。被入侵的電子郵件的最終目標(biāo)就是竊取更多的登錄憑據(jù)。下面是發(fā)送的郵件示例:

郵件本身似乎沒(méi)有威脅——通知收件人已支付發(fā)票的簡(jiǎn)短說(shuō)明。但是, 如果其他員工點(diǎn)擊鏈接, 他們將被帶到一個(gè)假的 Office 365 登錄頁(yè), 在那里他們將被要求輸入他們的憑據(jù)。如果他們進(jìn)一步點(diǎn)擊并提交他們的憑據(jù), 他們的賬號(hào)也將被犯罪分子入侵。

對(duì)于黑客來(lái)說(shuō), 竊取到信譽(yù)良好企業(yè)的憑據(jù)在黑客的地下網(wǎng)絡(luò)是一筆可觀(guān)的財(cái)富。他們可以出售, 以啟動(dòng)更多的網(wǎng)絡(luò)釣魚(yú)活動(dòng), 而且成功機(jī)率很高, 因?yàn)檫@是一個(gè)信譽(yù)度很高的郵件域。

此外,可以使用這些竊取來(lái)的憑證進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)或冒充CEO欺詐攻擊。在這些攻擊中,黑客利用被盜用的賬戶(hù)發(fā)送一封電子郵件給欺騙的目標(biāo)即接收者(通常是在財(cái)務(wù)部)并發(fā)送屬于攻擊者的轉(zhuǎn)賬銀行賬戶(hù)給對(duì)方。

此外，犯罪分子還不斷使用許多變種的電子郵件來(lái)竊取憑據(jù)。例如, 我們還看到了一些嘗試, 他們會(huì)將仿冒的正文中的包括OneDrive 共享鏈接的郵件發(fā)送給用戶(hù), 如下面的示例所示。

與我們?cè)诘谝粋€(gè)例子中看到的相似, 用戶(hù)的電子郵件帳戶(hù)也被入侵了;然而, 這一次犯罪分子采取了不同的方式,與鏈接。他們提供一個(gè) OneDrive 共享鏈接, 一旦點(diǎn)擊, 將進(jìn)入到一個(gè)用來(lái)竊取憑證的假登錄頁(yè)。

在這次攻擊中, 犯罪分子多次登錄用戶(hù)帳戶(hù), 收集用戶(hù)通訊簿中的目標(biāo), 并向員工和外部聯(lián)系人發(fā)送數(shù)以百計(jì)的電子郵件。

正如您所看到的, 一旦犯罪分子竊取了用戶(hù)憑據(jù), 這些攻擊就會(huì)快速增長(zhǎng)。真正可怕的是, 常規(guī)的電子郵件安全解決方案不會(huì)檢測(cè)到這些類(lèi)型的攻擊, 因?yàn)樗鼈冊(cè)醋詢(xún)?nèi)部電子郵件。

綜上所述, 這些攻擊中使用的技術(shù)有:

仿冒: 犯罪分子冒充同事或聯(lián)系人, 讓用戶(hù)根據(jù)他們的要求行事

網(wǎng)絡(luò)釣魚(yú): 電子郵件發(fā)送給用戶(hù)發(fā)起攻擊竊取他們的憑據(jù)

那么, 用戶(hù)如何遠(yuǎn)離這些威脅呢?

采納先進(jìn)的防御方案：

梭子魚(yú)Sentinel解決方案能對(duì)實(shí)時(shí)魚(yú)叉式釣魚(yú)攻擊和網(wǎng)絡(luò)詐騙進(jìn)行有效防御, 可自動(dòng)防止電子郵件帳戶(hù)被控制。其利用 AI 來(lái)學(xué)習(xí)企業(yè)的通信歷史, 并防止未來(lái)的魚(yú)叉式釣魚(yú)攻擊。還結(jié)合了三個(gè)強(qiáng)大的防護(hù)層: 首先，人工智能引擎, 其可終止實(shí)時(shí)的魚(yú)叉式釣魚(yú)攻擊, 包括來(lái)自公司內(nèi)部的電子郵件;其次，使用 DMARC 身份驗(yàn)證防止域欺騙和品牌劫持的域欺詐可見(jiàn)性;最后，針對(duì)高危人群進(jìn)行欺詐模擬培訓(xùn)，提高安全防范意識(shí)。

員工安全意識(shí)培訓(xùn) – 針對(duì)員工定期進(jìn)行安全培訓(xùn)和測(cè)試, 以提高他們對(duì)各種目標(biāo)攻擊的安全防范意識(shí)。模擬攻擊的培訓(xùn)方式是迄今為止最有效的培訓(xùn)方法. 梭子魚(yú) PhishLine的解決方案可提供全面的、SCORM 兼容的用戶(hù)培訓(xùn)和測(cè)試以及電子郵件、語(yǔ)音信箱和SMS的網(wǎng)絡(luò)仿冒模擬，其是培訓(xùn)用戶(hù)識(shí)別網(wǎng)絡(luò)攻擊的有效工具。