守内安:年关将至,我们盘点了23年常见的“鱼饵”类型

 邮箱网  0条评论  895次浏览  2023年12月21日 星期四 16:22

分享到: 更多
年关将至,各行各业都忙于完成业绩指标,当然黑客也不例外。随着发年终奖、红包、退税申报等时间临近,钓鱼邮件和网络诈骗事件再次高发。黑客们利用员工对年终奖、红包等金钱的关注和兴奋,伪装成公司HR或财务部,大量散发包含恶意附件或链接的钓鱼邮件,吸引员工点击。一旦中招,极有可能导致公司的网络安全遭受侵害,造成数据泄露等严重后果。

​近期我们检测到,假冒年终奖、退税申报的钓鱼邮件数量激增。这类邮件通过制造时间紧迫感,并故意在标题和内容中透露部分真实信息,让人真假难辨。企业内部邮件常被网络钓鱼盯上,就是因为我们对来自公司内部的信息存有信任。而黑客则利用这点,伪装成公司领导或同事朋友,发送钓鱼邮件。


目前钓鱼邮件大致可以分为两类:

一种是包含恶意链接,诱导你填入敏感信息。

一种是包含恶意附件,为你送上病毒、木马等恶意程序大礼包。

由这2大类又演化出了种类繁杂的钓鱼邮件,如自动幻化各类官方网站的钓鱼网站、利用0day对于浏览器或操作系统漏洞的攻击,诱导下载木马、病毒附件的“大礼包”更有甚者无需点开附件,仅仅预览也会中招。以上种种不胜枚举,令人防不胜防!


01

包含恶意链接的邮件
 

这类邮件通过在正文插入恶意链接,或二维码图片,配合煞有其事的文案,制造真实的场景诱导点击,一旦员工点击,极有可能导致敏感信息泄露,更严重则可能导致设备被植入木马程序而被勒索。除了植入木马病毒,有些邮件还可能宣称“点击链接申领”,或直接引导“扫码”而最终链接则指向一个包含金融付款扫码诈骗的页面。最终造成个人金钱财产造成巨大损失!

(二维码指向钓鱼页面)

外贸企业常见的订单,报价单,发票这三要素,是黑客们最常用也是最常见的钓鱼内容,邮件常常煞有其事的让你查看链接或附件。↓ 

(正文直接包含恶意链接)


有文化的黑客还会使用双语编写钓鱼邮件,这样的邮件如果遇到外贸行业的你,收到是否会抱着好奇的心里点击链接?↓


(多语言正文直接包含恶意链接 — 图源网络 侵删)
 
企业员工和各种官方推广邮件常被网络钓鱼盯上,就是因为我们对来自熟悉的公司与公司内部的信息存有信任。而黑客则利用这点,伪装成各种李鬼。很多恶意链接点击后会跳转到被精心伪装过的钓鱼网页。以进一步骗取个人敏感信息。↓

(各种头部企业信手拈来)
 


(精心伪造的李鬼网站)
 

通过在正文中加入二维码,来躲避传统垃圾钓鱼邮件的检测机制。↓

(正文中带有钓鱼二维码)
 

文件链接采用ACE prefix或 IP 地址采用八字节十六进制,躲避系统扫描链接。↓


(文件链接采用ACE prefix或 IP 地址采用八字节十六进制)
 
当下恶意链接的形式也在推陈出新,从一开始拙劣的正文包含,到精心美化,从文件中包含二维码图片,再到附件中包含二维码,钓鱼邮件与邮件安全产品时刻上演着“矛与盾”的对决。

02

包含恶意附件的邮件
 
将二维码以附件的形式植入邮件,这样正文中就不携带任何威胁信息。此方式也是躲避传统防病毒机制的最常见的手法之一。↓

(钓鱼二维码图片以附件形式携带)
 
除常见的二维码附件形式以外,另一类则通过Word、Excel、PPT等office文件或压缩文件的附件来发布木马程序。钓鱼邮件会声称这些文件中包含了密码、年终奖明细等,引诱员工下载并打开。一旦启用宏,木马程序即被植入并运行。↓


(带毒ppt文件)

(带毒Excel附件)
 


(带毒Excel文件)

通过压缩附件来躲避传统查杀,也是常见规避邮件网关的方式之一。↓

(压缩带毒附件)


今年一季度,安全漏洞CVE-2023-23397 可利用 Outlook 的日历提醒功能来窃取受害者的 Net-NTLMv2 哈希。黑客发送利用此漏洞的恶意邮件后,Outlook 客户端只要接收并处理邮件,即便使用者没有开启或浏览这封恶意邮件,都会自动触发该漏洞并泄漏 Net-NTLMv2 哈希。↓

(无需点击仅预览就中招的outlook特权提升漏洞)
 
甚至部分攻击会利用公共邮箱合法平台发送,邮件不带附件,避开了系统病毒,APT扫描,文件链接利用公共平台合法化链接方式发送,造成一般安全产品无法及时发现并拦截。↓

(利用公共邮箱合法化链接)
 
通过加密威胁附件,并在正文中标注解压密码的钓鱼邮件,是目前当下黑客的新宠。此方式目的也是基于将附件加密来绕开传统安全产品检测。↓

(邮件正文添加了文件解锁密码)
 
守内安目前对于以上钓鱼邮件类型,均可做到有效防护。由于篇幅限制,以下仅取拦截难度较大的加密附件形式为例:↓

(被拦截的加密类型的威胁邮件)
 
SPAM SQR邮件安全网关,搭载N-Tier多重引擎。拥有完善的病毒特征库、指纹库和恶意网址数据库,结合云端差分技术让威胁特征及时更新入库。配合流量控制防御引擎、社交工程侦测引擎,附件内容分析引擎,有效缩短 0day 攻击的风险,提升系统整体拦截效能。

(多重引擎 层层过滤)
 
更有内控管理,一步解决“内忧外患”。待发邮件过滤,防止内部滥发恶意邮件而被列入 RBL外发账号速率管控,防止内部中毒账号外发垃圾邮件。密码防猜,降低账号被盗风险(建议搭配密码强度检测)。

钓鱼套路千千万,分辨其实也不难

一、检查邮件地址

在收到一封邮件时,先确认发件人邮箱和实际发件人的邮箱是否相符。要小心来自外部的陌生邮箱的邮件,尽量避免点击。

二、检查邮件格式与内容

邮件的格式和正常邮件格式是否一致,正文是否有明显语法、拼写错误,敏感信息是否会以这样的形式要求提供,邮件中的要求、理由是否合乎逻辑和常理,内容是否前后矛盾等,这些都是可疑迹象。

三、检查超链接与附件

鼠标停留在链接上查看真实地址,与显示文本是否吻合,检查域名拼写与真实性。不明确的邮件附件不予打开。若是来历不明的邮件带有超链接或附件,更需要谨慎处理。

标签:钓鱼邮件

我的评论:

请  后发表评论。