美國(guó)聯(lián)邦調(diào)查局 (FBI) 在其最新的年度報(bào)告中確定，2020 年商業(yè)電子郵件泄露 (BEC) 和個(gè)人電子郵件帳戶泄露 (EAC)在美國(guó)造成的損失至少為 18.6 億美元，比 2019 年報(bào)告的損失增加了 5%。BEC和EAC占美國(guó)2020年報(bào)告的所有網(wǎng)絡(luò)攻擊損失的45%，60歲以上的個(gè)人占報(bào)告的受害者的11%。

[[443101]]

粗略比較，迄今為止已知的最大勒索軟件損失為 4000 萬(wàn)美元。 2021 年 Unit 42 勒索軟件威脅報(bào)告發(fā)現(xiàn)，2020 年勒索軟件的平均贖金為 847344 美元，而受害者支付的平均贖金為 312493 美元。 2021 年上半年，平均支付的贖金上漲了 82%，達(dá)到 570000 美元。不過這些平均支付贖金的數(shù)字是保守的，因?yàn)樗鼈冎话ㄖЦ囤H金中的直接金錢損失。還不包括與公司在攻擊期間被運(yùn)營(yíng)相關(guān)的損失，也不包括調(diào)查違規(guī)行為所花費(fèi)的資源。

所有這些攻擊(BEC、EAC 和勒索軟件)都有一個(gè)共同點(diǎn)，它們需要具有對(duì)目標(biāo)網(wǎng)絡(luò)或帳戶的訪問特權(quán)。對(duì)于大多數(shù)攻擊者來(lái)說(shuō)，面對(duì)那些擁有普通或低于普通網(wǎng)絡(luò)防御的目標(biāo)，偽裝成合法用戶或通訊員進(jìn)入網(wǎng)絡(luò)或賬戶，仍然是獲得秘密訪問權(quán)限、同時(shí)保持低被發(fā)現(xiàn)風(fēng)險(xiǎn)的最簡(jiǎn)單、最經(jīng)濟(jì)的方法。通過使用合法憑證和公開可用的技術(shù)，惡意行為者可以“逃避防御，盜取和竊取網(wǎng)絡(luò)中的各種信息”。雖然 APT 通過暴力憑證攻擊成功地實(shí)現(xiàn)了他們的攻擊目標(biāo)，但在許多情況下，攻擊者只是要求不知情的受害者交出他們的安全憑證。

電子郵件憑證盜取技術(shù)的發(fā)展

BEC/EAC 攻擊的利潤(rùn)豐厚，促使攻擊者不斷修改和升級(jí)他們的攻擊策略，以繞過各種保護(hù)措施。其中一項(xiàng)較新的技術(shù)集成了魚叉式網(wǎng)絡(luò)釣魚、自定義網(wǎng)頁(yè)和復(fù)雜的云單點(diǎn)登錄生態(tài)系統(tǒng)，以誘使用戶不經(jīng)意地泄露其憑證。一種流行的策略是使用看似良性的網(wǎng)頁(yè)，一旦打開，就會(huì)非常模仿流行和常用服務(wù)的合法登錄屏幕，例如：

Dropbox在一份聲明中表示:“這項(xiàng)活動(dòng)與Dropbox的服務(wù)無(wú)關(guān)。這表明，依賴客戶辨別真假的難度越來(lái)越大。

當(dāng)詐騙者使用這種策略時(shí)，他們通常會(huì)先發(fā)送帶有誘餌的電子郵件，誘使收件人打開附件或點(diǎn)擊網(wǎng)頁(yè)鏈接。電子郵件通常聚焦于業(yè)務(wù)運(yùn)營(yíng)的某些部分(包括財(cái)務(wù)、人力資源、物流和一般辦公室運(yùn)營(yíng))，并指向一個(gè)與需要用戶操作的主題相關(guān)的附件或鏈接。這些主題包括匯款、發(fā)票、未償付款項(xiàng)、報(bào)價(jià)請(qǐng)求(RFQ)、購(gòu)買確認(rèn)、裝運(yùn)狀態(tài)、語(yǔ)音郵件或通過電子郵件發(fā)送傳真等。為了使電子郵件看起來(lái)更合法，一些攻擊者以有意義的方式整合了目標(biāo)的具體信息，包括在電子郵件的主題中。最近的一些郵件主題包括：

一旦打開，電子郵件就會(huì)呈現(xiàn)給用戶一個(gè)典型的登錄頁(yè)面。為了降低懷疑，攻擊者經(jīng)常以加強(qiáng)安全為幌子讓用戶注銷賬戶。在某些情況下，發(fā)送頁(yè)面時(shí)已經(jīng)包含了用戶的電子郵件地址(再次嘗試提高請(qǐng)求的合法性)，并且只要求輸入密碼。這些誤導(dǎo)性的登錄屏幕會(huì)發(fā)出警報(bào)，例如：

• 你需要通過電子郵件登錄，以確保你是受保護(hù)文件的合法收件人，郵件服務(wù)器的文件由“插入安全供應(yīng)商”保護(hù);
• 要閱讀該文檔，請(qǐng)輸入此文件發(fā)送到的有效電子郵件憑據(jù);
• 因?yàn)槟阏谠L問敏感信息，因此需要驗(yàn)證你的密碼;
• 因?yàn)槟阏谠L問敏感信息，因此需要身份驗(yàn)證;
• 無(wú)法識(shí)別該設(shè)備，為了安全起見，公司名稱要真實(shí);
• 你的電子郵件帳戶(用戶名)已經(jīng)注銷，請(qǐng)單擊“確定”以登錄;
• 請(qǐng)登錄你的帳戶以查看受保護(hù)的文件;
• 你已經(jīng)注銷，請(qǐng)輸入正確的電子郵箱和密碼;
• 通過登錄 Office 以從任何地方訪問你的文檔;
• 你的密碼是查看傳真信息的安全密碼。

模擬Microsoft的惡意登錄請(qǐng)求的示例，需要憑證才能訪問文檔

一個(gè)惡意登錄請(qǐng)求模擬SharePoint的例子，需要憑證才能訪問文檔

模擬Microsoft的惡意登錄請(qǐng)求的示例，需要憑證才能訪問文檔

攻擊者們還添加了巧妙的策略來(lái)進(jìn)一步欺騙用戶。在某些情況下，他們自定義構(gòu)建他們的“登錄”模板，以匹配他們所針對(duì)的特定公司使用的公司電子郵件系統(tǒng)的外觀和感覺。在其他情況下，他們會(huì)根據(jù)用戶電子郵件地址的域部分自動(dòng)檢測(cè)關(guān)聯(lián)公司，然后將該公司的徽標(biāo)集成到欺詐網(wǎng)頁(yè)中。

JavaScript示例，用于從受害者的電子郵件地址識(shí)別組織，然后將其徽標(biāo)合并到后續(xù)頁(yè)面中。

此外，許多攻擊者正在他們的代碼中添加邏輯，以確保用戶準(zhǔn)確輸入憑證。一個(gè)格式不正確的電子郵件地址或空白的密碼將產(chǎn)生一個(gè)錯(cuò)誤指示用戶重試。攻擊者還會(huì)對(duì)第一次正確格式化的嘗試自動(dòng)做出“密碼錯(cuò)誤，請(qǐng)?jiān)僭囈淮?rdquo;的反應(yīng)。這些技術(shù)增加了攻擊者收到有效密碼的可能性，并可能減少謹(jǐn)慎用戶的懷疑，這些用戶可能首先輸入假憑證來(lái)查看請(qǐng)求是否合法。

用于驗(yàn)證憑證的 JavaScript 示例

假設(shè)詐騙者認(rèn)為他們讓用戶打開文件附件的機(jī)會(huì)太低，或者他們可以創(chuàng)建一個(gè)有點(diǎn)可信的完全限定域名。在這種情況下，他們還可以簡(jiǎn)單地將用戶指向合法托管服務(wù)上的網(wǎng)站，上面的技術(shù)都包含在一個(gè)托管頁(yè)面中。最近用戶可能錯(cuò)誤導(dǎo)航到的一些惡意網(wǎng)站包括：

用戶輸入并提交憑證后，Web 瀏覽器會(huì)將 HTTP 發(fā)布請(qǐng)求中的信息發(fā)送到通常以 *.php 結(jié)尾的 URL。作為超文本處理器，PHP 使詐騙者能夠輕松捕獲任何收到的憑證，對(duì)其進(jìn)行解碼并將其存儲(chǔ)在數(shù)據(jù)庫(kù)中。此外，雖然攻擊者可以購(gòu)買和維護(hù)支持這些騙局的 Web 域，但我們看到大量使用以前被攻擊和合并的合法域來(lái)滿足這些騙子的需求。

這種對(duì)合法基礎(chǔ)設(shè)施的惡意使用給網(wǎng)絡(luò)防御者帶來(lái)了兩個(gè)挑戰(zhàn)。首先，識(shí)別惡意流量是困難的，因?yàn)樗l(fā)生在兩個(gè)潛在的可信網(wǎng)絡(luò)之間。其次，一旦識(shí)別為惡意活動(dòng)宿主，阻止合法域名通常是不可能的，因?yàn)樗矔?huì)阻止該域名的合法和經(jīng)常需要的內(nèi)容。由于這些原因以及零成本，黑客們?cè)絹?lái)越多地依靠附加的基礎(chǔ)設(shè)施來(lái)達(dá)到他們想要的目的。

為了防止用戶在無(wú)法登錄虛假網(wǎng)站時(shí)產(chǎn)生懷疑，詐騙者通常會(huì)采用以下方法：

• 重定向到用戶認(rèn)為他們正在登錄的合法網(wǎng)站，如果已經(jīng)登錄，這會(huì)將他們直接帶到他們的帳戶中，從而增加他們對(duì)請(qǐng)求的合法性的感覺;
• “服務(wù)不可用錯(cuò)誤”建議他們稍后再試;
• “找不到文件”錯(cuò)誤;
• “掃描文件鎖定”錯(cuò)誤和“重定向回你的帳戶”，然后將用戶重定向回其合法收件箱;
• 通用內(nèi)容;
• 為網(wǎng)絡(luò)釣魚嘗試定制的內(nèi)容。

一旦攻擊者竊取了有效的用戶憑證，他們就離騙取公司或用戶的資金更近了一步。攻擊者將使用盜取到的憑證對(duì)用戶的文件、交易和通信進(jìn)行初步偵察。有了這些信息，攻擊者現(xiàn)在可以更好地了解以下情況：識(shí)別其他價(jià)值目標(biāo)、了解正常的業(yè)務(wù)流程和審批鏈、利用用戶的文檔或共享文件訪問權(quán)限來(lái)創(chuàng)建自定義網(wǎng)絡(luò)釣魚文檔，并通過偽裝為帳戶用戶來(lái)使用帳戶獲取經(jīng)濟(jì)利益或轉(zhuǎn)向更有利可圖的環(huán)境。

總結(jié)

對(duì)于企業(yè)或用戶來(lái)說(shuō)，檢測(cè)上述惡意策略可能非常具有挑戰(zhàn)性。此外，大多數(shù)網(wǎng)絡(luò)安全產(chǎn)品通常不會(huì)自動(dòng)將這些活動(dòng)檢測(cè)為惡意活動(dòng)，因?yàn)樵p騙者們?cè)谄潋_局中使用了合法網(wǎng)頁(yè)的精確副本，并沒有將木馬、間諜軟件、鍵盤記錄程序或其他惡意軟件納入他們的盜取嘗試。 Unit 42 研究人員建議采取以下措施來(lái)降低上述策略造成的電子郵件泄露風(fēng)險(xiǎn)：

• 對(duì)所有企業(yè)和個(gè)人帳戶實(shí)施多因素身份驗(yàn)證;
• 不斷更新和培訓(xùn)用戶關(guān)于 BEC/個(gè)人 EAC 騙局中使用的不斷發(fā)展的策略和社會(huì)工程;
• 不要相信任何鏈接，始終驗(yàn)證;
• 確保用戶和管理員明白，即使文件成功通過病毒掃描，它仍然可能具有惡意目的;
• 確保用戶了解哪些服務(wù)是單點(diǎn)登錄以及訪問這些帳戶的合法 URL;
• 定期更改密碼，每個(gè)帳戶使用一個(gè)獨(dú)立的復(fù)雜密碼，并使用密碼管理器來(lái)跟蹤憑證。

本文翻譯自：https://unit42.paloaltonetworks.com/credential-harvesting/