用数学符号绕过反钓鱼检测，这届黑产有点6

安全运维派 2022-06-01

文章来源：安全圈

作为一种古老的网络攻击手段，钓鱼邮件是企业和个人最常遇见的网络威胁之一。和零日漏洞、APT攻击等高危险的攻击方法相比，钓鱼邮件就显得非常“套”。

但是，“老套”并不意味着无效。相反，随着网络空间的不断发展、壮大，这种“老套的”攻击手段给每年都给企业带来了难以言表的巨额损失。

2021年Q2 Coremail邮件安全报告的数据显示，和2021年Q1相比，Q2邮件安全问题依旧层出不穷，钓鱼邮件季环比增长21.27%，同比增长甚至呈现翻倍上升趋势。

另一份报告指出，美国大型企业平均每年因与网络钓鱼相关的网络犯罪而损失1480万美元，远高于2015年的380万美元，过去六年来，美国大型企业的网络钓鱼平均成本飙升了289%，年均损失近1500万美元。

同时，网络钓鱼凭据也是勒索软件和商业电子邮件入侵 (BEC) 的常见起点。该报告称，勒索软件每年给大型企业造成570万美元的损失，而BEC则为600万美元。网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多。钓鱼邮件之猖獗可见一斑。

用数字符号规避钓鱼检测

面对日益频发的钓鱼邮件攻击，不少企业开始部署各种反钓鱼邮件的工具和解决方案，而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。

电子邮件防护产商INKY的安全研究人员详细地介绍了这种“新型”的钓鱼邮件攻击，它的核心是利用各种数字符号替换公司logo或名字中的字母，达到“欺骗”反钓鱼邮件或反垃圾邮件产品的目标。

美国电信巨头Verizon成了这种新型攻击的首个目标，自2021年11日开始，不少用户收到了“修改密码”的钓鱼邮件。不久之后，不少用户的账号被盗，有的甚至还被盗刷了信用卡，丢失了数千美金，但Verizon表示公司系统并为遭到破坏。

安全人员对此次钓鱼邮件攻击事件复盘之后发现，钓鱼邮件并未使用多少新的技术，而是对邮件进行了高超的“伪装”。

一个红色的平方根字符，NOR逻辑操作符或者说是汉字符号中的勾（√），这些简单的数学符号创造了一种逻辑干扰，竟然就这么骗过了反垃圾邮件检测的“眼睛”，于是这些邮件成功发给了用户。

因此，很多用户收到了邮件后，完全没有发现这是一封假的邮件。

但该钓鱼邮件的伪装还远不止这些，他们还创建了一个相似度非常高的假Verizon公司的网页。攻击者们在邮件中使用了一个简单的数字字符，用户只要点击之后就会定向链接到这个假网站。

这个假的恶意网站和真网站有多相似呢？根据INKY的安全研究人员的说法，他们几乎是完全克隆了Verizon公司的官网，使用了几乎相同的设计元素。

这就骗过了很多的用户，他们在登录页面填写了自己的Office 365的账号密码进行登录，而这些信息全部都落入到攻击者的手中。

有趣的是，用户在第一次登录的时候会显示“登录错误”，并要求再次输入账号密码，最终显示的页面是“无法登录”。

两次输入就意味着两次信息收集，但INKY安全研究人员也无法理解这波操作的真正原因。他们猜测攻击者是想确认账号密码的真实性，或者是引导用户输入其他的账号密码，这样他们可以收集两套登录凭证，卖两份价钱。

INKY安全研究人员进一步研究发现，钓鱼邮件攻击者是直接使用Gmail账户发送钓鱼信息。之所以如此明目张胆，是因为它们可以通过标准的电子邮件身份验证(SPF、DKIM和DMARC)。而那个等待用户的假的恶意网站中，存在着最新的零日漏洞，足以给用户造成严重损失。

事实上，这已经不是Verizon公司2021年度第一次遭遇钓鱼邮件攻击。

2021年4月，Verizon公司移动端用户遭钓鱼攻击，并欺骗用户窃取电话号码、ID、密码等私人数据信息，并且在2019年2和3月也遭受了两次钓鱼邮件攻击。

频繁出现的钓鱼攻击不仅给用户带来了一定的损失，也给Verizon公司声誉和业务造成了一定的损伤。

另外值得注意的是，前三次钓鱼邮件攻击还略显粗糙，最近一次的钓鱼邮件则出现明显的“定制化”趋势。攻击者用更加巧妙的手段，瞒过了企业反钓鱼邮件的检测，也瞒过了很多粗心的用户。

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。祝愿每一位读者生活愉快！谢谢!

推荐阅读

*山东省青岛市警方一网打尽13人犯案团伙，全国流窜作案，涉案金额1.1亿！