火眼2019年第二季度進行了郵件安全調(diào)查，以下是調(diào)查中人們最關(guān)心的問題：

• 假冒攻擊，BEC(商務(wù)郵件泄露)。
• 用戶電子郵件帳戶泄露，被盜賬戶用于還款。
• 來自可信第三方的網(wǎng)絡(luò)釣魚電子郵件。
• 用戶不確定電子郵件是否為網(wǎng)絡(luò)釣魚。
• 用戶在移動設(shè)備上發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件的能力。

前文對前兩個問題進行了分析討論并給出了一定的建議，接下來會對其余的三個問題進行探討，并提供解決問題的建議。

目標網(wǎng)絡(luò)釣魚攻擊

只要電子郵件一直是安全人員和企業(yè)公司最關(guān)心的問題，雖然有些網(wǎng)絡(luò)釣魚活動相當復雜，例如APT29的入侵活動，但其他電子郵件攻擊相比非常簡單，并且仍然具有較高的成功率。

2019年第一季度電子郵件威脅報告發(fā)現(xiàn)，與2018年第四季度相比，網(wǎng)絡(luò)釣魚增加了17%。因此，企業(yè)關(guān)注的問題中有三個與網(wǎng)絡(luò)釣魚有關(guān)。如圖1所示，自2017年以來，我們觀察到惡意電子郵件(如帶有導致釣魚網(wǎng)站的URL的電子郵件)數(shù)量在增加，帶有包含惡意軟件附件的電子郵件數(shù)量在減少。這種趨勢一直延續(xù)到今天。

圖1

如圖2所示，網(wǎng)絡(luò)釣魚攻擊的范圍很廣。在橫軸左端，攻擊者使用非目標、高容量的網(wǎng)絡(luò)釣魚攻擊。他們希望廣泛的網(wǎng)絡(luò)釣魚方法來實現(xiàn)對目標的突破并獲得經(jīng)濟上的回報。橫軸向右，攻擊者會使用社會工程來識別和分析受害者。他們利用諸如LinkedIn個人資料和Facebook帳戶等現(xiàn)成的在線信息來定制針對目標的釣魚郵件(圖3)。

圖2

圖3

攻擊者利用從互聯(lián)網(wǎng)上收集的信息來識別會計等相關(guān)部門的員工，然后針對目標個性化定制電子郵件的內(nèi)容。攻擊者將個性化電子郵件發(fā)送給目標集團組織中特定角色、管理員等特定目標，在會計或信息技術(shù)部門中特定目標通常具有較高權(quán)限。

雖然收集受害者信息需要前期投入大量時間，但更具針對性的釣魚方法通常會可以有更高的成功率。

可信第三方網(wǎng)絡(luò)釣魚電子郵件

基于云的應(yīng)用程序(如Microsoft Office 365)的流行使得關(guān)聯(lián)的登錄頁面成為憑證釣魚的目標，每個Microsoft應(yīng)用程序，包括Outlook和OneDrive，都有一個不同的登錄頁面，Microsoft是攻擊者使用最高的釣魚程序(圖4)。這些欺騙(網(wǎng)絡(luò)釣魚)頁面之所以如此令人信服，一個原因是，包含指向網(wǎng)絡(luò)釣魚頁面URL的電子郵件看起來是合法的，并且是從受信任的程序廠商發(fā)送的。

圖4

用戶不確定電子郵件是否為網(wǎng)絡(luò)釣魚

用戶對電子郵件是合法的還是釣魚郵件的不確定性是2019年第一季度強調(diào)的首要問題之一。

雖然個性化定制的電子郵件具有很高的成功率，但許多網(wǎng)絡(luò)罪犯發(fā)現(xiàn)了一種更有效的技術(shù)。通過在假冒電子郵件中包含一個網(wǎng)絡(luò)釣魚鏈接，攻擊者可以向多目標發(fā)送模糊的電子郵件，并且仍然可以從中獲益。

攻擊者偽造友好的顯示名稱，使其看起來像是從熟人發(fā)送的(圖5)。例如，受信任的支付公司的電子郵件地址。很多時候用戶沒有注意到badactor@opteary.com的真實電子郵件地址，認為它是另一個合法收件人。用戶有時會感覺郵件和平時收到的郵件有所不同，但無法準確地指出問題所在，這會導致用戶不確定電子郵件是合法的還是網(wǎng)絡(luò)釣魚。

圖5

移動設(shè)備釣魚郵件

雖然在移動設(shè)備上讀取的電子郵件已成為查看郵件的主要方式，超過了Webmail和桌面客戶端。

如圖5和圖6所示，合法的電子郵件地址是badactor@opentary.com，友好的顯示名稱joe.smith@companypayment.com，乍一看就產(chǎn)生了電子郵件來自companypayments.com的假象。電子郵件顯示名稱是一個用戶定義的標簽，用于提供發(fā)件人的可識別描述。MobileOutlook客戶端默認僅顯示友好的顯示名稱，該名稱恰好是joe.smith@companypayments.com，而不是joe smith。

圖6&圖7

如圖7所示，當在移動電子郵件客戶端上瀏覽時，消息預覽使顯示名稱更具說服力，實際上，電子郵件來自badaactor@opentary.com。

冒名頂替者使用的真實電子郵件地址在許多移動電子郵件客戶端中不易查看，因為為了方便起見，它們默認為友好的顯示名稱(圖8)。

雖然非常方便，但是移動設(shè)備有一個缺點：更小的顯示屏使得區(qū)分合法網(wǎng)頁和網(wǎng)絡(luò)釣魚網(wǎng)頁變得更加困難。例如，網(wǎng)絡(luò)釣魚網(wǎng)頁可能帶有值得信賴的品牌標志，但在小屏幕上很難注意到設(shè)計上的細微變化。

圖8

圖9

類似地，在移動端很難發(fā)現(xiàn)URL中包含一個額外的字母或相似的數(shù)字來代替正確的字母(同形符號)。移動用戶無法將鼠標懸停在URL上，這使得許多用戶很難區(qū)分合法網(wǎng)站和克隆網(wǎng)站。如圖9所示，攻擊者使用克隆云服務(wù)(如Office365)的登錄頁面來竊取公司憑證。

當網(wǎng)絡(luò)釣魚攻擊被包裝在一個移動設(shè)備端假冒郵件中時，攻擊者可以很容易地操縱友好的顯示名稱(如圖5和圖6中的JoeSmith)來冒充公司高管。因為友好的顯示名稱通常是默認情況下在移動設(shè)備上顯示的關(guān)于發(fā)送者的唯一信息，如果用戶不小心，就很有可能會被欺騙。圖5顯示了從桌面客戶端查看的電子郵件時假冒的電子郵件地址。

當我們相信正在與一個值得信賴的人溝通時，例如我們的老板、公司高管、朋友或家人，我們更可能點擊電子郵件中的URL或附件。

建議

技術(shù)和用戶教育雙管齊下是針對目標網(wǎng)絡(luò)釣魚攻擊的最佳防御。電子郵件安全解決方案減少了下載惡意軟件或點擊惡意URL的人為因素。但是，如果可疑電子郵件潛入用戶的收件箱，經(jīng)過培訓的員工則會成為第二層防御。

為了更好地做好防御準備，可以選擇如下的電子郵件安全解決方案：

• 投資研究惡意軟件
• 快速更迭防護措施，以檢測最新的假冒技術(shù)和網(wǎng)絡(luò)釣魚攻擊
• 基于從防御設(shè)備截獲攻擊行為獲得的實時知識構(gòu)建檢測能力

其次，需要花時間培訓用戶如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚電子郵件，以確保他們與正確的人進行通信而不是攻擊者。