作為一種古老的網(wǎng)絡(luò)攻擊手段，釣魚(yú)郵件是企業(yè)和個(gè)人最常遇見(jiàn)的網(wǎng)絡(luò)威脅之一。和零日漏洞、APT攻擊等高危險(xiǎn)的攻擊方法相比，釣魚(yú)郵件就顯得非常“老套”。

但是，“老套”并不意味著無(wú)效。相反，隨著網(wǎng)絡(luò)空間的不斷發(fā)展、壯大，這種“老套的”攻擊手段給每年都給企業(yè)帶來(lái)了難以言表的巨額損失。

2021年Q2 Coremail郵件安全報(bào)告的數(shù)據(jù)顯示，和2021年Q1相比，Q2郵件安全問(wèn)題依舊層出不窮，釣魚(yú)郵件季環(huán)比增長(zhǎng)21.27%，同比增長(zhǎng)甚至呈現(xiàn)翻倍上升趨勢(shì)。

另一份報(bào)告指出，美國(guó)大型企業(yè)平均每年因與網(wǎng)絡(luò)釣魚(yú)相關(guān)的網(wǎng)絡(luò)犯罪而損失1480萬(wàn)美元，遠(yuǎn)高于2015年的380萬(wàn)美元，過(guò)去六年來(lái)，美國(guó)大型企業(yè)的網(wǎng)絡(luò)釣魚(yú)平均成本飆升了289%，年均損失近1500萬(wàn)美元。

同時(shí)，網(wǎng)絡(luò)釣魚(yú)憑據(jù)也是勒索軟件和商業(yè)電子郵件入侵 (BEC) 的常見(jiàn)起點(diǎn)。該報(bào)告稱(chēng)，勒索軟件每年給大型企業(yè)造成570萬(wàn)美元的損失，而B(niǎo)EC則為600萬(wàn)美元。網(wǎng)絡(luò)釣魚(yú)造成的損失被比勒索軟件和BEC損失的總和還多。

釣魚(yú)郵件之猖獗可見(jiàn)一斑。

用數(shù)字符號(hào)規(guī)避釣魚(yú)檢測(cè)

面對(duì)日益頻發(fā)的釣魚(yú)郵件攻擊，不少企業(yè)開(kāi)始部署各種反釣魚(yú)郵件的工具和解決方案，而攻擊者們則是想盡辦法來(lái)規(guī)避這些反釣魚(yú)郵件檢測(cè)。

據(jù)Security affairs消息，近日某釣魚(yú)郵件組織突發(fā)奇想，使用數(shù)字符號(hào)來(lái)干擾反釣魚(yú)郵件檢測(cè)，竟然還取得了不俗的效果。

電子郵件防護(hù)產(chǎn)商INKY的安全研究人員詳細(xì)地介紹了這種“新型”的釣魚(yú)郵件攻擊，它的核心是利用各種數(shù)字符號(hào)替換公司logo或名字中的字母，達(dá)到“欺騙”反釣魚(yú)郵件或反垃圾郵件產(chǎn)品的目標(biāo)。

美國(guó)電信巨頭Verizon成了這種新型攻擊的首個(gè)目標(biāo)，自2021年11日開(kāi)始，不少用戶收到了“修改密碼”的釣魚(yú)郵件。不久之后，不少用戶的賬號(hào)被盜，有的甚至還被盜刷了信用卡，丟失了數(shù)千美金，但Verizon表示公司系統(tǒng)并為遭到破壞。

安全人員對(duì)此次釣魚(yú)郵件攻擊事件復(fù)盤(pán)之后發(fā)現(xiàn)，釣魚(yú)郵件并未使用多少新的技術(shù)，而是對(duì)郵件進(jìn)行了高超的“偽裝”。

一個(gè)紅色的平方根字符，NOR邏輯操作符或者說(shuō)是漢字符號(hào)中的勾(√)，這些簡(jiǎn)單的數(shù)學(xué)符號(hào)創(chuàng)造了一種邏輯干擾，竟然就這么騙過(guò)了反垃圾郵件檢測(cè)的“眼睛”，于是這些郵件成功發(fā)給了用戶。

之所以這波操作如此有效，是因?yàn)閂erizon公司的logo使用的就是一個(gè)紅色、不對(duì)稱(chēng)的“V”，這和平方根符號(hào)或者說(shuō)“勾”相似度非常高，如下圖所示。

(不仔細(xì)看根本分辨不出來(lái)有木有)

因此，很多用戶收到了郵件后，完全沒(méi)有發(fā)現(xiàn)這是一封假的郵件。

但該釣魚(yú)郵件的偽裝還遠(yuǎn)不止這些，他們還創(chuàng)建了一個(gè)相似度非常高的假Verizon公司的網(wǎng)頁(yè)。攻擊者們?cè)卩]件中使用了一個(gè)簡(jiǎn)單的數(shù)字字符，用戶只要點(diǎn)擊之后就會(huì)定向鏈接到這個(gè)假網(wǎng)站。

這個(gè)假的惡意網(wǎng)站和真網(wǎng)站有多相似呢?根據(jù)INKY的安全研究人員的說(shuō)法，他們幾乎是完全克隆了Verizon公司的官網(wǎng)，使用了幾乎相同的設(shè)計(jì)元素。

這就騙過(guò)了很多的用戶，他們?cè)诘卿涰?yè)面填寫(xiě)了自己的Office 365的賬號(hào)密碼進(jìn)行登錄，而這些信息全部都落入到攻擊者的手中。

有趣的是，用戶在第一次登錄的時(shí)候會(huì)顯示“登錄錯(cuò)誤”，并要求再次輸入賬號(hào)密碼，最終顯示的頁(yè)面是“無(wú)法登錄”。

兩次輸入就意味著兩次信息收集，但I(xiàn)NKY安全研究人員也無(wú)法理解這波操作的真正原因。他們猜測(cè)攻擊者是想確認(rèn)賬號(hào)密碼的真實(shí)性，或者是引導(dǎo)用戶輸入其他的賬號(hào)密碼，這樣他們可以收集兩套登錄憑證，賣(mài)兩份價(jià)錢(qián)。

INKY安全研究人員進(jìn)一步研究發(fā)現(xiàn)，釣魚(yú)郵件攻擊者是直接使用Gmail賬戶發(fā)送釣魚(yú)信息。之所以如此明目張膽，是因?yàn)樗鼈兛梢酝ㄟ^(guò)標(biāo)準(zhǔn)的電子郵件身份驗(yàn)證(SPF、DKIM和DMARC)。而那個(gè)等待用戶的假的惡意網(wǎng)站中，存在著最新的零日漏洞，足以給用戶造成嚴(yán)重?fù)p失。

事實(shí)上，這已經(jīng)不是Verizon公司2021年度第一次遭遇釣魚(yú)郵件攻擊。

2021年4月，Verizon公司移動(dòng)端用戶遭釣魚(yú)攻擊，并欺騙用戶竊取電話號(hào)碼、ID、密碼等私人數(shù)據(jù)信息，并且在2019年2和3月也遭受了兩次釣魚(yú)郵件攻擊。

頻繁出現(xiàn)的釣魚(yú)攻擊不僅給用戶帶來(lái)了一定的損失，也給Verizon公司聲譽(yù)和業(yè)務(wù)造成了一定的損傷。

另外值得注意的是，前三次釣魚(yú)郵件攻擊還略顯粗糙，最近一次的釣魚(yú)郵件則出現(xiàn)明顯的“定制化”趨勢(shì)。攻擊者用更加巧妙的手段，瞞過(guò)了企業(yè)反釣魚(yú)郵件的檢測(cè)，也瞞過(guò)了很多粗心的用戶。

如何有效預(yù)防釣魚(yú)郵件?

眾所周知，釣魚(yú)郵件的核心就在于一個(gè)“偽”字，而只要是假冒的就一定會(huì)存在各種蛛絲馬跡，我們可以通過(guò)這些蛛絲馬跡來(lái)分別是不是釣魚(yú)郵件，避免掉入攻擊者們的陷進(jìn)之中。

以下是安全專(zhuān)家們提供的預(yù)防釣魚(yú)郵件的建議：

(1) 對(duì)于來(lái)自Gmail或其他免費(fèi)電子郵件提供商(如雅虎、AOL或Hotmail)保持警惕，仔細(xì)核對(duì)發(fā)件人和郵件的真實(shí)性。

(2) 確保在下載任何附件之前進(jìn)行檢查，尤其是未經(jīng)請(qǐng)求的電子郵件。更好的做法是，仔細(xì)檢查發(fā)件人的電子郵件地址并留意高風(fēng)險(xiǎn)附件文件。不輕易下載附件，也不輕易點(diǎn)擊陌生鏈接。

(3) 切勿通過(guò)電子郵件提供敏感信息，如果一封電子郵件要求收件人提供信用卡詳細(xì)信息、稅號(hào)、社會(huì)保障信息或任何其他敏感詳細(xì)信息，那基本是釣魚(yú)郵件。

(4) 安裝反釣魚(yú)郵件工具，目前很多殺毒軟件和瀏覽器都包含了反釣魚(yú)郵件工具，這可以幫我們攔截大多數(shù)釣魚(yú)郵件，并且會(huì)有相應(yīng)的提醒。

(5) 重要文件做好防護(hù)，很多時(shí)候釣魚(yú)郵件只是勒索攻擊的開(kāi)端，及時(shí)對(duì)重要郵件備份，防止勒索攻擊鎖住文件造成巨額損失。

參考來(lái)源：https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html