[[390661]]

Palo Alto Networks的研究人員發(fā)現(xiàn)網(wǎng)路釣魚攻擊主要集中在2020年3月的個(gè)人防護(hù)設(shè)備(PPE)和測(cè)試工具，以及從4月到2020年夏季的政府刺激計(jì)劃(包括偽造的美國(guó)貿(mào)易委員會(huì)網(wǎng)站，該網(wǎng)站冒充美國(guó)聯(lián)邦貿(mào)易委員會(huì)以竊取用戶憑證)和從2020年秋末開始的疫苗(包括偽造的輝瑞和BioNTech網(wǎng)站也竊取了用戶憑證)。值得注意的是，研究人員發(fā)現(xiàn)，從2020年12月到2021年2月，與疫苗相關(guān)的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了530%，而與藥房和醫(yī)院相關(guān)或針對(duì)藥店和醫(yī)院的網(wǎng)絡(luò)釣魚攻擊數(shù)量在同一時(shí)間段內(nèi)增長(zhǎng)了189%。

研究人員的分析表明，微軟是攻擊者最關(guān)注的品牌。例如，攻擊者設(shè)置了偽造的Microsoft頁面，以竊取諸如Walgreens(位于美國(guó))，Pharmascience(位于加拿大)，Glenmark Pharmaceuticals(位于印度)和Junshi Biosciences(位于中國(guó))等機(jī)構(gòu)的員工憑據(jù)。

研究人員預(yù)測(cè)，隨著疫苗的持續(xù)推廣，與疫苗傳播相關(guān)的網(wǎng)絡(luò)釣魚攻擊(包括針對(duì)醫(yī)療保健和生命科學(xué)行業(yè)的攻擊)將繼續(xù)在全球范圍內(nèi)增加。

網(wǎng)絡(luò)釣魚趨勢(shì)

自2020年1月以來，研究人員已經(jīng)觀察到與新冠疫情相關(guān)主題鏈接的69950個(gè)釣魚URL，其中33447個(gè)與新冠疫情本身直接鏈接。在圖1中，研究人員繪制了這些不同主題隨時(shí)間的相對(duì)受歡迎程度，并對(duì)其進(jìn)行了規(guī)范化處理，以使每個(gè)主題的峰值受歡迎程度均為100%。通過觀察每個(gè)彩色部分的高度隨時(shí)間的變化，研究人員可以看到某些主題仍然是網(wǎng)絡(luò)釣魚攻擊的穩(wěn)定目標(biāo)，而其他主題在各個(gè)時(shí)間點(diǎn)都經(jīng)歷了更明顯的峰值。自大流行開始以來，例如，藥品和虛擬收集(例如Zoom)一直是網(wǎng)絡(luò)釣魚攻擊的相對(duì)穩(wěn)定的目標(biāo);另一方面，疫苗的開發(fā)使網(wǎng)絡(luò)釣魚的攻擊又達(dá)到了新一波高峰。

2020年1月至2021年2月以新冠病毒為主題的網(wǎng)絡(luò)釣魚攻擊趨勢(shì)

對(duì)于發(fā)現(xiàn)以已知品牌為目標(biāo)的以新冠疫情為主題的網(wǎng)絡(luò)釣魚頁面，研究人員確定這些攻擊中的大多數(shù)試圖竊取用戶的商業(yè)憑據(jù)：例如， Microsoft，Webmail，Outlook等。圖2中的每個(gè)欄代表試圖竊取該特定網(wǎng)站的用戶登錄憑據(jù)的網(wǎng)絡(luò)釣魚URL的百分比。例如，大約23%的以新冠疫情為主題的網(wǎng)絡(luò)釣魚URL是偽造的Microsoft登錄頁面。隨著大流行迫使許多員工進(jìn)行遠(yuǎn)程工作，這些與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)釣魚嘗試已成為網(wǎng)絡(luò)犯罪分子越來越重要的攻擊手段。

與新冠疫情相關(guān)的URL(全局)中的頂級(jí)網(wǎng)絡(luò)釣魚目標(biāo)，每個(gè)橫條代表試圖竊取該特定網(wǎng)站的用戶登錄憑據(jù)的網(wǎng)絡(luò)釣魚URL的百分比。請(qǐng)注意，在此圖中，研究人員僅包含針對(duì)可識(shí)別品牌的URL。

此外，研究人員注意到，通過這些以新冠疫情為主題的網(wǎng)絡(luò)釣魚攻擊，攻擊者正在不斷創(chuàng)建新的網(wǎng)站來托管其網(wǎng)絡(luò)釣魚活動(dòng)。在圖3中，該圖顯示了研究人員發(fā)現(xiàn)托管新冠疫情相關(guān)的網(wǎng)絡(luò)釣魚頁面的每個(gè)網(wǎng)站的生存時(shí)間，研究人員可以看到許多與新冠疫情相關(guān)的網(wǎng)絡(luò)釣魚頁面都托管在新創(chuàng)建的網(wǎng)站上，這表明攻擊者在其預(yù)期攻擊發(fā)生的前幾天有意建立了這些站點(diǎn)，這使攻擊者有機(jī)會(huì)制作與攻擊有關(guān)的消息以及網(wǎng)站URL，以適應(yīng)最新的大流行趨勢(shì)。

2020年1月至3月：初始浪涌，測(cè)試工具和PPE

在2020年1月至2020年2月之間，隨著新冠疫情開始在全球范圍內(nèi)傳播，網(wǎng)絡(luò)犯罪分子已經(jīng)開始嘗試?yán)眉磳⒘餍械拇罅餍袨槠鋷砗锰?。在此期間，研究人員發(fā)現(xiàn)與新冠疫情直接相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了313%。

在圖4中，研究人員看到了以新冠疫情為主題的網(wǎng)絡(luò)釣魚攻擊的示例。偽造的Google表單首先會(huì)要求用戶輸入電子郵件用戶名和密碼，在隨后的頁面中，該表格會(huì)提出一系列聽起來合理的健康相關(guān)問題，提交之前的最后一個(gè)問題要求員工通過輸入其全名來進(jìn)行所謂的“數(shù)字簽名”。

https://docs[.]google[.]com/forms/d/e/1FAIpQLSdiQL-IcnGqRIKzTVmpeQSBVRrD06c4NolWvgWcdRH-NgBx-A/viewform?vc=0&c=0&w=1&flr=0(與新冠疫情篩查相關(guān)的憑據(jù)竊取表單)

從2020年2月至3月，人們對(duì)新冠疫情擴(kuò)散到美國(guó)的擔(dān)憂迅速增加。為了滿足人們保護(hù)自己和家人的愿望，人們對(duì)測(cè)試工具、洗手液和N95口罩等個(gè)人防護(hù)裝備的興趣，甚至廁紙之類的必需品也開始迅速增加。

網(wǎng)上對(duì)“新冠疫情檢測(cè)試劑盒”的興趣與新冠疫情檢測(cè)相關(guān)的網(wǎng)絡(luò)釣魚流行率

這些趨勢(shì)在研究人員的歷史網(wǎng)絡(luò)釣魚數(shù)據(jù)中也可以觀察到，在2020年2月，研究人員發(fā)現(xiàn)全球范圍內(nèi)與個(gè)人防護(hù)設(shè)備相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了136%，其中許多都是以網(wǎng)上購(gòu)物詐騙的形式出現(xiàn)的(見圖6)。今年3月，就在《紐約時(shí)報(bào)》報(bào)道整個(gè)美國(guó)的新冠疫情測(cè)試工具嚴(yán)重不足之際，研究人員發(fā)現(xiàn)與檢測(cè)工具相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了750%。

https://atemmaske-kn95-de[.]com

除了這些欺詐網(wǎng)站之外，研究人員還觀察到了看似合法的測(cè)試工具供應(yīng)商，這些供應(yīng)商的網(wǎng)站由于竊取憑據(jù)而受到攻擊。在圖8中，研究人員看到了一個(gè)偽造的Microsoft Sharepoint登錄頁面，該用戶將通過網(wǎng)絡(luò)釣魚電子郵件中的鏈接進(jìn)入該頁面。網(wǎng)絡(luò)釣魚頁面會(huì)要求用戶提供電子郵件和Microsoft密碼，以查看與用戶“共享”的對(duì)時(shí)間敏感的發(fā)票。

covid-testkit[.]co[.]uk

covid-testkit[.]co[.]uk/wp-includes/images/i/Newfilesviewc7c782c3b7c54f958e7eb2efff3a49b28866b4fc22dd46cfbad9e6ac9d0cd18cca873584897b48c88d82ecf5cd62783dServices

2020年4月至7月：政府刺激和救濟(jì)計(jì)劃

2020年4月，美國(guó)國(guó)稅局開始向個(gè)人發(fā)放1200美元的刺激計(jì)劃。大約在同一時(shí)間，“薪資保護(hù)計(jì)劃”(PPP)付諸實(shí)施，這也導(dǎo)致了網(wǎng)絡(luò)釣魚攻擊的迅速猛增。

隨后，研究人員注意到與政府救濟(jì)計(jì)劃有關(guān)的網(wǎng)絡(luò)釣魚攻擊在2020年4月增加了600%。如下面兩個(gè)圖所示，研究人員顯示了一個(gè)網(wǎng)絡(luò)釣魚頁面的示例，該頁面?zhèn)窝b成“美國(guó)貿(mào)易委員會(huì)”，這是一個(gè)偽造的部門。該網(wǎng)站承諾為每個(gè)人提供高達(dá)5800美元的“臨時(shí)救濟(jì)基金”。虛假的統(tǒng)計(jì)數(shù)據(jù)顯示在頁面的右側(cè)，給用戶一種錯(cuò)覺，認(rèn)為還有數(shù)十億美元沒有分配。

ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/(偽造的“美國(guó)貿(mào)易委員會(huì)”網(wǎng)站)

點(diǎn)擊“啟動(dòng)驗(yàn)證程序”按鈕后，用戶會(huì)被重定向到一個(gè)表單，要求提供社會(huì)安全號(hào)碼(SSN)和駕照號(hào)碼。

ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/verification.php(與新冠疫情政府援助相關(guān)的證書竊取表)

在制定了合法的刺激和救濟(jì)計(jì)劃之后，與經(jīng)濟(jì)救濟(jì)相關(guān)的網(wǎng)絡(luò)釣魚攻擊在接下來的幾個(gè)月中仍然相對(duì)流行(見圖9)，因?yàn)槿杂性S多人需要經(jīng)濟(jì)支持。在圖12中，研究人員看到另一個(gè)憑據(jù)竊取頁面，要求用戶輸入個(gè)人和公司信息，駕駛執(zhí)照照片和銀行帳戶詳細(xì)信息。研究人員在圖13中看到一個(gè)類似的示例，該示例承諾在輸入他們的銀行帳戶信息后向用戶發(fā)送3000印度盧比。

covid-19-benefit[.]cabanova[.]com(與所謂的新冠疫情救濟(jì)贈(zèng)品有關(guān)的憑據(jù)竊取頁面)

fund4-covid19[.]com(竊取憑據(jù)的網(wǎng)站，要求用戶輸入銀行帳戶信息，以便接收臨時(shí)資金)

2020年11月至2021年2月：疫苗批準(zhǔn)和推出

隨著疫苗的研發(fā)成功，攻擊者試圖利用這一趨勢(shì)來進(jìn)行攻擊也就不足為奇了。從2020年12月到2021年2月，研究人員發(fā)現(xiàn)與疫苗相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了530%(見圖14)。

接下來，可以看到一個(gè)偽造網(wǎng)站的示例，該網(wǎng)站聲稱代表了輝瑞公司和BioNTech(mRNA疫苗的生產(chǎn)商)。釣魚頁面要求用戶使用Office 365憑據(jù)登錄，以進(jìn)行疫苗注冊(cè)。

還要注意的是，這個(gè)釣魚網(wǎng)站使用了一種越來越普遍的技術(shù)，即“客戶端偽裝”。該網(wǎng)站并沒有立即揭露竊取證書的表單，而是首先要求用戶點(diǎn)擊“登錄”按鈕，以避開自動(dòng)的、基于爬蟲的網(wǎng)絡(luò)釣魚探測(cè)器。

pfizer-vaccine[.]online

pfizer-vaccine[.]online(用戶點(diǎn)擊“登錄”按鈕后顯示的憑據(jù)竊取表單)

從2020年12月到2021年2月，研究人員發(fā)現(xiàn)與藥房和醫(yī)院相關(guān)的攻擊增加了189%。

https://iwalgreens[.]beardspoles[.]cc

afmaderahospital[.]org[.]anjritlah[.]com

考慮到新冠疫情的全球性質(zhì)，針對(duì)藥品和醫(yī)療保健公司的這些網(wǎng)絡(luò)釣魚活動(dòng)似乎不僅僅在美國(guó)如此，在全球范圍內(nèi)似乎很普遍。在下圖中，研究人員看到針對(duì)魁北克最大的制藥企業(yè)Pharmascience的網(wǎng)絡(luò)釣魚攻擊。在圖20中，研究人員看到針對(duì)總部位于孟買的全球藥品制造商Glenmark Pharmaceuticals的網(wǎng)絡(luò)釣魚攻擊。在圖21中，研究人員看到針對(duì)以上海為基地的醫(yī)藥研發(fā)公司Junshi Biosciences的網(wǎng)絡(luò)釣魚攻擊。在圖21的情況下，攻擊者建立了一個(gè)偽造的登錄頁面，冒充SF Express(一家中國(guó)跨國(guó)交付和物流公司)。

afpharmascience[.]com[.]oceantrimtex.com(這是針對(duì)魁北克最大的制藥企業(yè)Pharmascience的員工進(jìn)行的網(wǎng)絡(luò)釣魚活動(dòng)的一部分)

droidfreedom[.]com/wp-includes/SimplePie/filamora/negwtod/REDACTED@glenmarkpharma.com(針對(duì)以孟買為基地的全球藥品制造商Glenmark Pharma的網(wǎng)絡(luò)釣魚活動(dòng)的一部分)

Junshipharma-9107214068[.]parnian-distribution[.]com(針對(duì)以上海為基地的醫(yī)藥研發(fā)公司Junshi Biosciences的員工為目標(biāo)的網(wǎng)絡(luò)釣魚活動(dòng)的一部分)

在某些情況下，研究人員還會(huì)觀察合法的制藥公司，其網(wǎng)站已被破壞并用于網(wǎng)絡(luò)釣魚目的。在圖22中，研究人員可以看到pharmalicensing.com是一家公司的網(wǎng)站，該公司可以幫助連接生命科學(xué)行業(yè)的企業(yè)，該網(wǎng)站已經(jīng)遭到入侵，并被用來托管一個(gè)仿冒頁面，以竊取用戶的商業(yè)憑據(jù)。這類攻擊可能特別危險(xiǎn)，因?yàn)樵季W(wǎng)站的合法性可能會(huì)誘使用戶錯(cuò)誤地認(rèn)為網(wǎng)絡(luò)釣魚頁面也是合法的。

pharmalicensing.com/stone/excelzz/bizmail.php(Pharmalicensing的一個(gè)被盜用的網(wǎng)站，用于憑證竊取)

緩解措施

對(duì)于個(gè)人而言：

1.在點(diǎn)擊可疑電子郵件中包含的鏈接或附件時(shí)要謹(jǐn)慎，尤其是那些與個(gè)人賬戶設(shè)置或個(gè)人信息有關(guān)的鏈接或附件，或者試圖傳遞緊迫感的鏈接或附件。

2.驗(yàn)證收件箱中任何可疑電子郵件的發(fā)件人地址。

3.輸入登錄憑據(jù)之前，請(qǐng)仔細(xì)檢查每個(gè)網(wǎng)站的URL和安全證書。

4.報(bào)告可疑的網(wǎng)絡(luò)釣魚企圖。

對(duì)于企業(yè)而言：

1.實(shí)施安全意識(shí)培訓(xùn)，以提高員工識(shí)別欺詐性電子郵件的能力。

2.定期備份組織的數(shù)據(jù)，以防御通過網(wǎng)絡(luò)釣魚電子郵件發(fā)起的勒索軟件攻擊。

3.對(duì)所有與業(yè)務(wù)相關(guān)的登錄強(qiáng)制執(zhí)行多因素身份驗(yàn)證，以增加安全性。

本文翻譯自：https://unit42.paloaltonetworks.com/covid-19-themed-phishing-attacks/如若轉(zhuǎn)載，請(qǐng)注明原文地址。