電子郵件是應(yīng)用最廣泛的商業(yè)應(yīng)用程序，同時也是網(wǎng)絡(luò)安全事件的主要初始攻擊途徑，因為其中包含大量的商業(yè)機密、個人身份信息（PII）、財務(wù)數(shù)據(jù)和其他對攻擊者有價值的敏感信息。

此外，電子郵件又是最難保護的應(yīng)用之一。如果保護很簡單，就不會有那么多商業(yè)電子郵件妥協(xié)（BEC）造成高達500億美元損失的新聞，也不會有那么多某人被釣魚手段騙到并導(dǎo)致入侵的事件。一旦攻擊者成功滲透一個電子郵件賬戶，他們就可以橫向移動并影響各種內(nèi)部系統(tǒng)。

為了研究關(guān)鍵的網(wǎng)絡(luò)釣魚趨勢，這一首次發(fā)布的Cloudflare《網(wǎng)絡(luò)釣魚威脅報告》評估了超過2.79億個電子郵件威脅指標、2.5億封惡意電子郵件、近10億起品牌假冒事件，以及2022年5月到2023年5月期間處理的大約130億封電子郵件中收集的其他數(shù)據(jù)點，旨在幫助組織更好地應(yīng)對網(wǎng)絡(luò)釣魚威脅。

關(guān)鍵數(shù)據(jù)

• 欺騙性鏈接是網(wǎng)絡(luò)攻擊者使用的頭號手段，占威脅總數(shù)的6%；
• 電子郵件身份驗證并不能完全阻止威脅。大多數(shù)（89%）有害郵件能夠“成功通過”SPF、DKIM或DMARC檢查；
• 攻擊者在其品牌模擬企圖中冒充了超過1000個不同的組織。然而，在大部分（7%）事件中，他們僅假冒了20個全球最大品牌之一。
• 身份欺騙威脅呈上升趨勢，占總威脅指標的比例從去年的3%增長到14.2%（3960萬）；
• 被冒充最多的品牌恰好是最受信任的軟件公司之一：Microsoft。其他被冒充最多的公司包括Google、Salesforce等；
• 90%的受訪安全決策者認同釣魚威脅的類型和范圍正在擴大，89%的受訪者對“多渠道”釣魚威脅表示擔(dān)憂。

電子郵件威脅分類

攻擊者通常會結(jié)合使用社交工程和技術(shù)策略，使他們的消息對收件人和收件人的電子郵件系統(tǒng)而言都看似合法。為此，Cloudflare使用了許多先進的檢測技術(shù)來分析“模糊”信號（不僅僅是由肉眼可以看到的內(nèi)容），以識別不受歡迎的電子郵件。這些信號包括：

• 結(jié)構(gòu)分析，包括頭部、正文內(nèi)容、圖片、鏈接、附件、負載，利用啟發(fā)式算法和專門針對網(wǎng)絡(luò)釣魚信號而設(shè)計的機器學(xué)習(xí)模型；
• 情緒分析，檢測模式和行為的變化（例如，寫作模式和表達）；
• 信任圖譜，評估社交圖譜、電子郵件發(fā)送歷史和潛在的合作伙伴假冒。

以下是Cloudflare在2022年5月2日至2023年5月2日期間觀察到的熱門電子郵件威脅指標的快照。研究人員將威脅指標分為30多個不同的類別；在此期間，最主要的威脅指標有欺騙性鏈接、域期限（新注冊的域名）、身份欺騙、憑據(jù)收集器和品牌假冒等。

【按威脅類別劃分的占比情況】

頭號威脅：欺詐性鏈接

欺騙性鏈接是第一大電子郵件威脅類別，占檢測結(jié)果的35.6%。它也是上一年（2021年5月至2022年4月）的第一大威脅類別，占所有威脅指標的38.4%。

當“認識”的某人發(fā)來電子郵件時，點擊其中的鏈接是很自然的行為，尤其是當這封電子郵件很及時且看似合法時。但是點擊錯誤的鏈接可能會導(dǎo)致一些嚴重后果，例如：

• 憑據(jù)收集：如果受害者在攻擊者控制的網(wǎng)頁上輸入憑據(jù)，就會發(fā)生這種情況；
• 遠程代碼執(zhí)行（RCE）：允許攻擊者安裝惡意軟件或勒索軟件，竊取數(shù)據(jù)，或進行其他惡意操作；
• 網(wǎng)絡(luò)破壞：一次無意的點擊就可能導(dǎo)致橫向移動，從而允許攻擊者控制并破壞整個網(wǎng)絡(luò)。

案例剖析

這場以DocuSign為主題的SVB（硅谷銀行）釣魚攻擊發(fā)生在2023年3月，攻擊者針對多個組織的數(shù)十個人發(fā)動了攻擊（包括Cloudflare聯(lián) 合 創(chuàng) 始 人 兼 CEO Matthew Prince）。郵件中包含一個初始鏈接和一個深達四層的復(fù)雜重定向鏈。

如果用戶點擊了“查看文檔”鏈接，攻擊鏈就會開始執(zhí)行。該鏈接將用戶帶到由Sizmek（亞馬遜廣告服務(wù)器）運行的可追蹤分析鏈接，其網(wǎng)址為bs[.]serving-sys[.]com。

然后，鏈接將用戶重定向到托管在na2signing[.]web[.]app域上的Google Firebase應(yīng)用程序na2signing[.]web[.]appHTML代碼，隨后將用戶重定向到一個運行在eaglelodgealaska[.]com域上的WordPress網(wǎng)站，后者運行著另一個重定向器。經(jīng)過最后一次重定向后，用戶將被發(fā)送到由攻擊者控制的docusigning[.]kirklandellis[.]net網(wǎng)站。

多渠道網(wǎng)絡(luò)釣魚的開端可能是一個“無害的”鏈接

研究發(fā)現(xiàn)，越來越多攻擊是通過多個通信渠道對用戶發(fā)動的——通常最初是一個鏈接。研究人員將此類攻擊稱為“多渠道”網(wǎng)絡(luò)釣魚。調(diào)查顯示，有89%的安全決策者對多渠道釣魚威脅表示擔(dān)憂。

多渠道釣魚攻擊的一個例子涉及“延遲”攻擊，即在電子郵件首次發(fā)送時鏈接仍然是無害的。具體操作步驟如下：

• 攻擊者設(shè)置基礎(chǔ)設(shè)施（例如注冊域名、設(shè)置電子郵件身份驗證和創(chuàng)建無害的網(wǎng)頁），為他們未來的釣魚嘗試做準備。在這個節(jié)點，電子郵件系統(tǒng)無法檢測到任何攻擊的跡象。
• 攻擊者會從新創(chuàng)建的域名發(fā)送一封電子郵件，并在郵件中包含一個鏈接，指向仍然無害的網(wǎng)頁。電子郵件系統(tǒng)不會將其標記為可疑。
• 電子郵件發(fā)送后，網(wǎng)頁被“武裝化”，例如通過更新網(wǎng)頁來包含一個虛假的登錄頁面以竊取憑據(jù)。
• 開始新一周工作時，員工看到電子郵件。一旦有人點擊鏈接并輸入憑據(jù)，攻擊就成功了。

案例剖析

2022年7月，Cloudflare安全團隊收到報告，稱有員工收到了看起來合法的短信，指向一個貌似Cloudflare Okta登錄頁面的網(wǎng)址。短信指向一個看似正式的域名（cloudflare-okta[.]com），但該域名是在釣魚企圖開始前不到40分鐘內(nèi)注冊的。

如果有人點擊了鏈接，他們將被帶到一個釣魚頁面，該頁面看起來與合法的Okta登錄頁面完全相同（Cloudflare將Okta作為其身份提供者），并提示訪問者輸入其憑據(jù)。

最終，如果目標受害者完成在釣魚網(wǎng)站上輸入憑據(jù)和基于時間的一次性密碼（TOTP）的步驟，釣魚頁面將開始下載釣魚負載，其中包括AnyDesk的遠程訪問軟件。該軟件一旦被安裝，攻擊者就能遠程控制受害者的設(shè)備。

不過好在，Cloudflare并不使用TOTP代碼（相反地，每位員工都配備了符合FIDO2標準的物理安全密鑰）。攻擊者無法繞過其硬件密鑰要求或其SASE平臺：Cloudflare One。

身份欺騙威脅飆升

如今，更多的攻擊使用身份欺騙（假冒某人的身份）——第三大電子郵件威脅類別。2022年2月至2023年5 月2日期間檢測到的威脅中，14.2%含有身份欺騙，較一年前的10.3%大幅飆升。這種攻擊類型有很多形式，包括品牌模擬和商業(yè)電子郵件妥協(xié)（BEC）。

案例剖析

在2022年美國中期選舉前的三個月內(nèi)，Cloudflare阻止了大約15萬封發(fā)送給競選官員的釣魚郵件。其中一次釣魚嘗試的目標是美國國會候選人的工作人員。

這些工作人員收到了一封主題為“員工工資單審核”的電子郵件，要求他們訪問一個文檔鏈接。該電子郵件包含了正確的電子郵件頁腳和與競選活動一致的品牌標識。

然而，Cloudflare的模型在電子郵件的元數(shù)據(jù)中發(fā)現(xiàn)了幾處不一致，包括一個指向新注冊域名的鏈接。最終，Cloudflare系統(tǒng)阻止了這封電子郵件，從而防止了可能的數(shù)據(jù)和金錢損失。

全球BEC威脅激增

到現(xiàn)在為止，許多組織已經(jīng)聽說過商業(yè)電子郵件妥協(xié)（BEC）——這是一種以財務(wù)為動機的特定形式的網(wǎng)絡(luò)釣魚。然而，BEC仍繼續(xù)造成重大。原因在于它不依賴于欺騙性鏈接或惡意附件，而是利用對收件人的電子郵件行為和商業(yè)流程的深入了解。這種知識也可以延伸到破壞目標的可信供應(yīng)鏈和合作伙伴。

例如，BEC攻擊中可能使用的帳戶入侵，即攻擊者實際控制了某個用戶的電子郵件賬戶。如果是某個合作伙伴的電子郵件賬戶，則被稱為“供應(yīng)商電子郵件破壞”（VEC）。被入侵的帳戶可以針對其他人進行攻擊，因為來源并沒有改變。

想象一個信任了一段時間的供應(yīng)商：您經(jīng)常給他們發(fā)郵件，討論項目，甚至他們的周末計劃。然后，有一天，您支付了一張“假”發(fā)票——它在各方面看起來都像過去的發(fā)票，僅銀行代碼改變了。這是因為攻擊者已經(jīng)在您的電子郵件帳戶中“潛伏”數(shù)周，甚至數(shù)月。

雖然BEC威脅在總檢測量中占比并不高（0.5%），但研究人員認為，這是由于現(xiàn)在的技術(shù)可在攻擊周期中更快地識別這些威脅，例如，在攻擊者有機會發(fā)送欺詐性發(fā)票以轉(zhuǎn)移付款之前。

數(shù)據(jù)顯示，那些未能阻止企業(yè)電子郵件破壞（BEC）的組織將面臨比以往更大的財務(wù)損失：

• 損失超過500億美元：自2013年10月至2022年12月，BEC在國內(nèi)和國際上造成的總損失超過500億美元；
• 增長17%：2021年12月至2022年12月，全球范圍內(nèi)已知因BEC造成的損失增長了17%；
• 代價超過勒索軟件：在2022年，勒索軟件相關(guān)投訴共計2,385起，損失超過3430萬美元，而涉及BEC的投訴共計21832起，損失超過27億美元；
• 71%的組織：在2022年，71%的組織至少經(jīng)歷過一次嘗試或?qū)嶋H的BEC攻擊

品牌模擬威脅

在2022年5月至2023年5月期間，我們觀察到在針對Cloudflare客戶的電子郵件中約有1,000個不同的品牌遭到冒充。以下為攻擊者最常假冒的全球20大知名品牌：

案例剖析

今年初，Cloudflare發(fā)現(xiàn)并阻止了一個利用微軟品牌的網(wǎng)絡(luò)釣魚活動，該活動試圖通過一個合法但被入侵的網(wǎng)站獲取憑據(jù)。

在下面的電子郵件示例中，盡管電子郵件呈現(xiàn)了文字，但正文中卻沒有任何文本。整個正文是一個超鏈接的JPEG圖像。因此，如果收件人點擊了正文中的任何地方（即使他們并不打算點擊鏈接），他們實際上就是在點擊鏈接。

最初，該圖片的超鏈接似乎是一個良性的百度URL——hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是，如果點擊此鏈接，目標的瀏覽器就會被重定向到一個已被入侵并用于托管憑據(jù)收割機的網(wǎng)站。

攻擊者使用了Microsoft Office 365品牌，但試圖通過在圖片中包含品牌信息來規(guī)避任何品牌檢測技術(shù)（即沒有可供檢查以識別該品牌的明文或HTML文本）。

不過，Cloudflare使用光學(xué)字符識別（OCR）成功識別出了圖片中的“Office 365”和“Microsoft”。我們還利用OCR識別了與密碼有關(guān)的可疑賬戶誘餌。

在本例中，攻擊者的技巧包括：

• 只包含JPEG圖像（沒有OCR就無法檢測到文字）；
• 在該圖片中嵌入一個超鏈接（點擊正文中的任何位置都將導(dǎo)致點擊該鏈接）；
• 超鏈接到百度URL（用于繞過基于信譽的URL檢測技術(shù)）；
• 百度URL將收件人的瀏覽器重定向到一個憑據(jù)收集器網(wǎng)站（即可以規(guī)避其他無法進行深度鏈接檢查的電子郵件安全防御系統(tǒng)）；
• 在已遭到攻擊者入侵的合法網(wǎng)站上托管憑據(jù)收集器（即使使用深度鏈接檢測，也會再次嘗試繞過基于信譽的URL檢測技術(shù)）；

這種攻擊手段利用了百度的高信譽和真實性，繞過了托管憑據(jù)收集器的真實主機/IP的信譽。

雖然此次特定活動的重點是獲取微軟憑據(jù)，但研究發(fā)現(xiàn)攻擊者經(jīng)常使用類似方法繞過品牌檢測技術(shù)，誘騙受害者下載惡意軟件和其他惡意有效負載。

網(wǎng)絡(luò)釣魚活動中經(jīng)常會出現(xiàn)URL重定向技術(shù)，但威脅行為者會濫用越來越多的合法域名（如 baidu.com、bing.coml等），從而不斷改進其方法。

品牌模擬騙過常見電子郵件防御措施

電子郵件身份驗證（特別是SPF、DKIM和DMARC標準）是經(jīng)常提到的可以有效防止品牌假冒的手段：這些標準有助于驗證服務(wù)器和租戶的來源、保護信息完整性、提供策略執(zhí)行等。

然而，攻擊者仍然可以找到繞過身份驗證的方法來欺騙電子郵件套件；數(shù)據(jù)顯示，89%不受歡迎的郵件“通過了”SPF、DKIM 和/或 DMARC 檢查。

電子郵件身份驗證的一些優(yōu)勢和局限性包括：

結(jié)論和建議

攻擊者的戰(zhàn)術(shù)正在不斷更新變化。在郵件到達收件箱之前、期間和之后，必須實施多重保護。

所有組織都應(yīng)將零信任的“永不信任，始終驗證”安全模式不僅推廣到網(wǎng)絡(luò)和應(yīng)用程序，還要擴展到電子郵件收件箱。

除了使用零信任方法確保電子郵件安全外，安全專家還建議：

1. 通過多種反釣魚措施來增強云電子郵件

跨多個設(shè)備使用消息傳遞、協(xié)作、文件共享和企業(yè)軟件即服務(wù)應(yīng)用程序都有助于提高員工的工作效率和體驗。許多這樣的環(huán)境都認定成“封閉的”，但如果一個仿冒供應(yīng)鏈合作伙伴憑據(jù)的網(wǎng)絡(luò)釣魚攻擊成功，就會使組織面臨數(shù)據(jù)丟失、憑據(jù)被盜、欺詐和勒索軟件攻擊。為電子郵件收件箱開發(fā)的保護措施必須覆蓋到這些環(huán)境，并貫穿員工的日常工作流程。

2. 采用防網(wǎng)絡(luò)釣魚的多因素身份驗證（MFA）

雖然并非所有多因素身份驗證都能提供相同的安全層，但硬件安全密鑰是防止網(wǎng)絡(luò)釣魚攻擊成功的最安全身份驗證方法之一。即使攻擊者獲得了用戶名和密碼，這些密鑰也能保護網(wǎng)絡(luò)安全。

3. 降低人類犯錯率

讓員工和團隊使用的工具更加安全，防止他們出錯，從而滿足他們的需求。例如，遠程瀏覽器隔離（RBI）技術(shù)與云電子郵件安全集成后，可以自動隔離可疑的電子郵件鏈接，防止用戶接觸到潛在的惡意Web內(nèi)容。在不受信任的網(wǎng)站上，鍵盤輸入也可以進行禁用，以保護用戶避免在填寫表格時意外輸入敏感信息或憑據(jù)而遭到竊取。這可以有效地允許用戶不用中斷他們的工作流程即可安全地打開鏈接，為抵御多渠道網(wǎng)絡(luò)釣魚攻擊提供了一層防御。

4. 建立多疑但不責(zé)難的文化

鼓勵開放、透明的“發(fā)現(xiàn)問題、及時報告”方式，與IT和安全事件響應(yīng)團隊進行全天候合作，有助于讓每個人參與到網(wǎng)絡(luò)安全工作中來。遭到攻擊時，每分鐘都很重要。建立一個多疑但不責(zé)難的文化，提前并經(jīng)常報告可疑活動，以及真實的錯誤，有助于確保事件（無論多么罕見）能夠盡快得到報告。

原文鏈接：https://blog.cloudflare.com/2023-phishing-report/