文章轉(zhuǎn)載自微信公眾號“數(shù)世咨詢”(dwconcn)。

鬼祟無下限。應(yīng)警惕能瞞過常規(guī)驗證方法的狡猾網(wǎng)絡(luò)釣魚郵件。

[[379586]]

去年，網(wǎng)絡(luò)罪犯以多種創(chuàng)新方式濫用電子郵件實施網(wǎng)絡(luò)攻擊，“戰(zhàn)果頗豐”。用戶收件箱被塞滿藉由病毒恐懼情緒誘騙點擊釣魚鏈接的郵件。各類賬戶被盜，公司企業(yè)對供應(yīng)商的信任慘遭攻擊者利用。常規(guī)驗證檢查措施失效，可疑郵件大量潛入。攻擊者將域名當成用后即棄的一次性物品：短暫使用后就拋棄，不給安全工具留出標記為惡意站點予以打擊的機會和時間。

沒錯，新冠肺炎疫情肆虐的2020年也是電子郵件攻擊狂歡的一年。但其中哪些攻擊最為突出呢?

Darktrace電子郵件安全產(chǎn)品總監(jiān)Dan Fein描述了他心目中2020年最“成功”的電子郵件攻擊，均為該公司AI電子郵件工具Antigena檢測出來的。下面我們就來看看都有哪些攻擊收獲了這份“殊榮”：

1. 藏匿雪中

對希望逃避隔離的滑雪愛好者而言，提供Vail Resorts雪場門票的電子郵件簡直無法拒絕。然而，禁不住誘惑的結(jié)果就是淪為憑證盜竊攻擊的受害者。

郵件中的網(wǎng)絡(luò)釣魚鏈接似乎指向Vail Resorts滑雪度假村公司，然后重定向至其合法訂票服務(wù)及合作伙伴公司Snow.com。然而，這些都只是表象。

圖：可疑參數(shù)藏在末端的鏈接

注意URL末尾的“p1”參數(shù)。攻擊者實際上會將受害者帶到s-ay.xyz上的虛假登錄頁面。而且，為了偽裝得更像，虛假登錄頁面甚至在“username”(用戶名)字段預(yù)先填入了受害者的電子郵件地址。由于URL實在是太長了，即使熟悉安全的用戶在點擊之前懸停檢查了超鏈接目的地址，也很可能只看到一個被截斷了的URL，沒機會看到末端那個可疑的參數(shù)。

Fein稱：“很多安全產(chǎn)品都不會檢測，因為vailresorts.com名聲清白。我覺得這很有意思，因為只要你以特定方式查看這一鏈接就能發(fā)現(xiàn)這些東西。你會意識到這個鏈接不尋常，因為里面隱藏了重定向。”

2. 通過SPF潛入

Fein表示：“每次SPF(發(fā)送方策略框架)或DKIM(域名密鑰識別郵件)等驗證檢查表明郵件是從預(yù)期基礎(chǔ)設(shè)施發(fā)來時，我們的客戶都覺得‘哎呀，SPF通過了，DKIM通過了，這郵件難道還不是良性的?’但在我們看來，這還真不是。你得保持戒備之心。”

舉個例子：據(jù)稱發(fā)自目標公司IT部門的郵件，鏈向微軟Office表單。Office 365登錄頁面還預(yù)載了用戶的電子郵件地址。郵件通過了SPF和DKIM驗證檢查。

但是，Darktrace檢測到，這封郵件很可能發(fā)自被黑賬戶。(不僅僅是因為郵件文本中包含“點擊密碼”這種語法奇怪的短語。)

Fein引用了幾個潛在異常上下文的案例，并表示：“Antigena會檢查上下文。比如，通常來自O(shè)utlook的郵件突然換成了出自Python腳本?；蛘咧灰纯脆]件的用戶代理(User Agent)：一切看起來好像自動化了。要不然就看基礎(chǔ)設(shè)施：盡管來自O(shè)utlook，卻是發(fā)自非預(yù)期的國家。”

3. 令人大倒胃口的鏈接

還有一種郵件，號稱來自IT支持服務(wù)，但根本毫無幫助。攻擊者在發(fā)件人名稱里嵌入了一些非拉丁字母。(有些攻擊者現(xiàn)在會使用隱藏文本，也就是在電子郵件字母之間加入不可見字符，避免“helpdesk”(技術(shù)支持)或“password expired”(密碼過期)這樣的詞句觸發(fā)電子郵件防御機制。)

郵件本身是無傷大雅的，附件也相對無害。但附件里的超鏈接就成問題了。這種鏈接很可能號稱鏈向在線餐廳預(yù)訂服務(wù)，但實際上卻是通往惡意網(wǎng)站。

Fein表示，Darktrace能根據(jù)風(fēng)險嚴重程度執(zhí)行一系列針對性操作：重定向可疑鏈接、完全剪掉可疑鏈接、濾掉郵件中的附件，或者阻止整封郵件。

“僅僅因為附件里有可疑的東西，不代表你得完全阻止整個附件，但在這種情況下，確實應(yīng)該完全阻止。”

4. 假冒電子郵件網(wǎng)關(guān)

Fein選出的另一電子郵件攻擊與他本人關(guān)系密切，因為攻擊者假冒了一家電子郵件安全公司。郵件來自虛假思科Ironport地址，宣稱內(nèi)含存檔文件。

發(fā)件人和收件人之間并無既往聯(lián)系，這就很讓人生疑了，更別提還有另一個異常敲響了警鐘：Darktrace AI檢測引擎將收件人集合本身標為了極不正常。

正如Fein解釋的，有些用戶組更容易一起出現(xiàn)在同一電子郵件線程中，其他用戶組則不然;有些用戶組預(yù)期收到未知發(fā)件人發(fā)來的外部郵件，其他則一般不會收到這種郵件。所以，如果某封郵件同時發(fā)往人力資源部門、開發(fā)團隊和其他互不相關(guān)的業(yè)務(wù)線，Darktrace的檢測技術(shù)就會注意到異常。

今年令Fein驚訝和棘手的電子郵件攻擊，是運用狡猾的技術(shù)騙取目標收件人及其安全工具信任的那種。

“他們會頂著你熟悉的公司名稱，或者采用你知道的基礎(chǔ)設(shè)施。又或者，你收到熟人的電子郵件，然后覺得自己在登錄回復(fù)他們。但這一切都不過是為了讓你以為自己接下來要做的事有意義，為了增加可信度而已。”