最近，利用冠狀病毒爆發(fā)事件展開的攻擊活動頻出，主要的攻擊形式為針對個人的網(wǎng)絡(luò)釣魚?；谶@個現(xiàn)狀，筆者整理了幾類比較典型的攻擊案例，借此希望幫助大家更好地識別虛假、惡意信息。

疫情當(dāng)前，不容黑客妄行。

[[313839]]

1. 提供周圍區(qū)域的感染列表

在美國，黑客冒充疾病預(yù)防控制中心和病毒專家，針對個人進行網(wǎng)絡(luò)釣魚攻擊。

網(wǎng)絡(luò)釣魚模擬和安全意識培訓(xùn)機構(gòu)KnowBe4的研究人員發(fā)現(xiàn)了這些網(wǎng)絡(luò)釣魚活動，攻擊者號稱會提供周圍區(qū)域的感染列表，以此誘騙潛在的受害者點擊郵件中嵌入的鏈接并進入釣魚頁面。

在KnowBe4發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚電子郵件樣本中，攻擊者嘗試將其垃圾郵件偽裝成由CDC(疾病預(yù)防控制中心)的Health Alert Network(健康警報網(wǎng)絡(luò))分發(fā)的官方警報。然后，告知攻擊目標(biāo)——疾病預(yù)防控制中心已經(jīng)建立了事件管理系統(tǒng)，以協(xié)調(diào)國內(nèi)外公共衛(wèi)生對策。然后，攻擊者以鏈接的形式誘使他們接收其城市周圍新感染病例的更新列表。而結(jié)果是，攻擊者通過釣魚頁面收集并竊取了用戶憑證。

冠狀病毒網(wǎng)絡(luò)釣魚電子郵件示例(KnowBe4)

2. 提供安全措施

安全公司Mimecast發(fā)現(xiàn)了另一起利用新型冠狀病毒誘餌的網(wǎng)絡(luò)釣魚活動，這次是針對美國和英國人。在這一系列的網(wǎng)絡(luò)釣魚電子郵件中，則要求收件人“仔細閱讀所附文件中有關(guān)冠狀病毒傳播的安全措施”，并強調(diào)這些安全措施的重要性促使攻擊目標(biāo)下載惡意PDF，而該PDF中的惡意軟件有效載荷將感染其計算機。

冠狀病毒網(wǎng)絡(luò)釣魚電子郵件樣本(Mimecast)

3. 提供冠狀病毒預(yù)防文檔

與Emotet集團有關(guān)的垃圾郵件發(fā)送者也在向日本目標(biāo)積極發(fā)送電子郵件，警告他們?nèi)毡踞?，大阪和鳥取等縣都出現(xiàn)了感染。

事實上這些信息看起來非常像是來自殘疾福利服務(wù)提供者和公共衛(wèi)生中心的官方通知，但實際是攻擊者使用了被盜的電子郵件，以此作為模板建模的。

Emotet的“冠狀病毒”電子郵件樣本(IBM X-Force&Bom)

在這些電子郵件的附件中提供了有關(guān)如何預(yù)防冠狀病毒的詳細措施。一旦攻擊目標(biāo)打開這些Word文檔，就會彈出一個EmotetOffice365文檔模板，并要求受害者“啟用內(nèi)容”以查看完整文檔，啟用宏后，將使用PowerShell命令將Emotet有效負載安裝在受害者的設(shè)備上。一旦電腦受到感染，它就會將惡意垃圾郵件消息發(fā)送到其他目標(biāo)，并將其他惡意軟件安裝到設(shè)備上，進而可以集用戶憑據(jù)，瀏覽器歷史記錄和敏感文檔，并且打包并發(fā)送到攻擊者控制的存儲服務(wù)器中。

示例Emotet惡意文檔模板

最后

攻擊者為了自己的惡意目的，利用乃至擴大公眾對新型冠狀病毒的恐慌而“趁火打劫”。不管是所謂的周邊感染列表還是新型冠狀病毒預(yù)防措施，公眾在接收、傳播疫情相關(guān)信息時，更需要謹而慎之，尤其要注意網(wǎng)絡(luò)安全問題。

• 首先，對郵件或其他渠道傳播的含有冠狀病毒感染解決方法或安全措施的文件保持警惕，不要隨意下載或打開文件名中帶有“武漢疫情”、“新型冠狀病毒”等熱點詞匯的exe、csr等可執(zhí)行文件。
• 在技術(shù)上，實施可靠的網(wǎng)絡(luò)安全解決方案，例如防病毒解決方案;在電子郵件網(wǎng)關(guān)上實施過濾器，并在防火墻處阻止可疑IP地址。
• 在個人網(wǎng)絡(luò)衛(wèi)生習(xí)慣上，建議使用強密碼并且不啟用附件宏。

伴隨著病毒的擴散，我們可能還會看到更多基于新型冠狀病毒的惡意電子郵件流量，社交媒體也或成為高頻的攻擊途徑。不僅僅是美國、英國、日本，中國同樣要高度警惕。疫情之下，需要我們有更強的判斷和更堅定的決心，不僅眾志成城打贏病毒戰(zhàn)，在網(wǎng)絡(luò)安全上同樣要守好關(guān)!