Cloudflare《2023年网络钓鱼威胁报告》
作者 | 晶颜
电子邮件是应用最广泛的商业应用程序,同时也是网络安全事件的主要初始攻击途径,因为其中包含大量的商业机密、个人身份信息(PII)、财务数据和其他对攻击者有价值的敏感信息。
此外,电子邮件又是最难保护的应用之一。如果保护很简单,就不会有那么多商业电子邮件妥协(BEC)造成高达500亿美元损失的新闻,也不会有那么多某人被钓鱼手段骗到并导致入侵的事件。一旦攻击者成功渗透一个电子邮件账户,他们就可以横向移动并影响各种内部系统。
为了研究关键的网络钓鱼趋势,这一首次发布的Cloudflare《网络钓鱼威胁报告》评估了超过2.79亿个电子邮件威胁指标、2.5亿封恶意电子邮件、近10亿起品牌假冒事件,以及2022年5月到2023年5月期间处理的大约130亿封电子邮件中收集的其他数据点,旨在帮助组织更好地应对网络钓鱼威胁。
| 关键数据 |
欺骗性链接是网络攻击者使用的头号手段,占威胁总数的6%;
电子邮件身份验证并不能完全阻止威胁。大多数(89%)有害邮件能够“成功通过”SPF、DKIM或DMARC检查;
攻击者在其品牌模拟企图中冒充了超过1000个不同的组织。然而,在大部分(7%)事件中,他们仅假冒了20个全球最大品牌之一。
身份欺骗威胁呈上升趋势,占总威胁指标的比例从去年的3%增长到14.2%(3960万);
被冒充最多的品牌恰好是最受信任的软件公司之一:Microsoft。其他被冒充最多的公司包括Google、Salesforce等;
90%的受访安全决策者认同钓鱼威胁的类型和范围正在扩大,89%的受访者对“多渠道”钓鱼威胁表示担忧。
| 电子邮件威胁分类 |
攻击者通常会结合使用社交工程和技术策略,使他们的消息对收件人和收件人的电子邮件系统而言都看似合法。为此,Cloudflare使用了许多先进的检测技术来分析“模糊”信号(不仅仅是由肉眼可以看到的内容),以识别不受欢迎的电子邮件。这些信号包括:
结构分析,包括头部、正文内容、图片、链接、附件、负载,利用启发式算法和专门针对网络钓鱼信号而设计的机器学习模型;
情绪分析,检测模式和行为的变化(例如,写作模式和表达);
信任图谱,评估社交图谱、电子邮件发送历史和潜在的合作伙伴假冒。
以下是Cloudflare在2022年5月2日至2023年5月2日期间观察到的热门电子邮件威胁指标的快照。研究人员将威胁指标分为30多个不同的类别;在此期间,最主要的威胁指标有欺骗性链接、域期限(新注册的域名)、身份欺骗、凭据收集器和品牌假冒等。
【按威胁类别划分的占比情况】
| 头号威胁:欺诈性链接 |
欺骗性链接是第一大电子邮件威胁类别,占检测结果的35.6%。它也是上一年(2021年5月至2022年4月)的第一大威胁类别,占所有威胁指标的38.4%。
当“认识”的某人发来电子邮件时,点击其中的链接是很自然的行为,尤其是当这封电子邮件很及时且看似合法时。但是点击错误的链接可能会导致一些严重后果,例如:
凭据收集:如果受害者在攻击者控制的网页上输入凭据,就会发生这种情况;
远程代码执行(RCE):允许攻击者安装恶意软件或勒索软件,窃取数据,或进行其他恶意操作;
网络破坏:一次无意的点击就可能导致横向移动,从而允许攻击者控制并破坏整个网络。
案例剖析
这场以DocuSign为主题的SVB(硅谷银行)钓鱼攻击发生在2023年3月,攻击者针对多个组织的数十个人发动了攻击(包括Cloudflare联 合 创 始 人 兼 CEO Matthew Prince)。邮件中包含一个初始链接和一个深达四层的复杂重定向链。
如果用户点击了“查看文档”链接,攻击链就会开始执行。该链接将用户带到由Sizmek(亚马逊广告服务器)运行的可追踪分析链接,其网址为bs[.]serving-sys[.]com。
然后,链接将用户重定向到托管在na2signing[.]web[.]app域上的Google Firebase应用程序na2signing[.]web[.]appHTML代码,随后将用户重定向到一个运行在eaglelodgealaska[.]com域上的WordPress网站,后者运行着另一个重定向器。经过最后一次重定向后,用户将被发送到由攻击者控制的docusigning[.]kirklandellis[.]net网站。
| 多渠道网络钓鱼的开端可能是一个“无害的”链接 |
研究发现,越来越多攻击是通过多个通信渠道对用户发动的——通常最初是一个链接。研究人员将此类攻击称为“多渠道”网络钓鱼。调查显示,有89%的安全决策者对多渠道钓鱼威胁表示担忧。
多渠道钓鱼攻击的一个例子涉及“延迟”攻击,即在电子邮件首次发送时链接仍然是无害的。具体操作步骤如下:
攻击者设置基础设施(例如注册域名、设置电子邮件身份验证和创建无害的网页),为他们未来的钓鱼尝试做准备。在这个节点,电子邮件系统无法检测到任何攻击的迹象。
攻击者会从新创建的域名发送一封电子邮件,并在邮件中包含一个链接,指向仍然无害的网页。电子邮件系统不会将其标记为可疑。
电子邮件发送后,网页被“武装化”,例如通过更新网页来包含一个虚假的登录页面以窃取凭据。
开始新一周工作时,员工看到电子邮件。一旦有人点击链接并输入凭据,攻击就成功了。
案例剖析
2022年7月,Cloudflare安全团队收到报告,称有员工收到了看起来合法的短信,指向一个貌似Cloudflare Okta登录页面的网址。短信指向一个看似正式的域名(cloudflare-okta[.]com),但该域名是在钓鱼企图开始前不到40分钟内注册的。
如果有人点击了链接,他们将被带到一个钓鱼页面,该页面看起来与合法的Okta登录页面完全相同(Cloudflare将Okta作为其身份提供者),并提示访问者输入其凭据。
最终,如果目标受害者完成在钓鱼网站上输入凭据和基于时间的一次性密码(TOTP)的步骤,钓鱼页面将开始下载钓鱼负载,其中包括AnyDesk的远程访问软件。该软件一旦被安装,攻击者就能远程控制受害者的设备。
不过好在,Cloudflare并不使用TOTP代码(相反地,每位员工都配备了符合FIDO2标准的物理安全密钥)。攻击者无法绕过其硬件密钥要求或其SASE平台:Cloudflare One。
| 身份欺骗威胁飙升 |
如今,更多的攻击使用身份欺骗(假冒某人的身份)——第三大电子邮件威胁类别。2022年2月至2023年5 月2日期间检测到的威胁中,14.2%含有身份欺骗,较一年前的10.3%大幅飙升。这种攻击类型有很多形式,包括品牌模拟和商业电子邮件妥协(BEC)。
案例剖析
在2022年美国中期选举前的三个月内,Cloudflare阻止了大约15万封发送给竞选官员的钓鱼邮件。其中一次钓鱼尝试的目标是美国国会候选人的工作人员。
这些工作人员收到了一封主题为“员工工资单审核”的电子邮件,要求他们访问一个文档链接。该电子邮件包含了正确的电子邮件页脚和与竞选活动一致的品牌标识。
然而,Cloudflare的模型在电子邮件的元数据中发现了几处不一致,包括一个指向新注册域名的链接。最终,Cloudflare系统阻止了这封电子邮件,从而防止了可能的数据和金钱损失。
| 全球BEC威胁激增 |
到现在为止,许多组织已经听说过商业电子邮件妥协(BEC)——这是一种以财务为动机的特定形式的网络钓鱼。然而,BEC仍继续造成重大。原因在于它不依赖于欺骗性链接或恶意附件,而是利用对收件人的电子邮件行为和商业流程的深入了解。这种知识也可以延伸到破坏目标的可信供应链和合作伙伴。
例如,BEC攻击中可能使用的帐户入侵,即攻击者实际控制了某个用户的电子邮件账户。如果是某个合作伙伴的电子邮件账户,则被称为“供应商电子邮件破坏”(VEC)。被入侵的帐户可以针对其他人进行攻击,因为来源并没有改变。
想象一个信任了一段时间的供应商:您经常给他们发邮件,讨论项目,甚至他们的周末计划。然后,有一天,您支付了一张“假”发票——它在各方面看起来都像过去的发票,仅银行代码改变了。这是因为攻击者已经在您的电子邮件帐户中“潜伏”数周,甚至数月。
虽然BEC威胁在总检测量中占比并不高(0.5%),但研究人员认为,这是由于现在的技术可在攻击周期中更快地识别这些威胁,例如,在攻击者有机会发送欺诈性发票以转移付款之前。
数据显示,那些未能阻止企业电子邮件破坏(BEC)的组织将面临比以往更大的财务损失:
损失超过500亿美元:自2013年10月至2022年12月,BEC在国内和国际上造成的总损失超过500亿美元;
增长17%:2021年12月至2022年12月,全球范围内已知因BEC造成的损失增长了17%;
代价超过勒索软件:在2022年,勒索软件相关投诉共计2,385起,损失超过3430万美元,而涉及BEC的投诉共计21832起,损失超过27亿美元;
71%的组织:在2022年,71%的组织至少经历过一次尝试或实际的BEC攻击
| 品牌模拟威胁 |
在2022年5月至2023年5月期间,我们观察到在针对Cloudflare客户的电子邮件中约有1,000个不同的品牌遭到冒充。以下为攻击者最常假冒的全球20大知名品牌:
排名 | 被假冒的品牌 |
1 | 微软 |
2 | 世界卫生组织 |
3 | |
4 | SpaceX |
5 | Salesforce |
6 | Apple |
7 | Amazon |
8 | T-Mobile |
9 | YouTube |
10 | 万事达卡 |
11 | Notion.so |
12 | Comcast |
13 | Line Pay |
14 | MasterClass |
15 | Box |
16 | Truist Financial Corp |
17 | |
18 | |
19 | AT&T |
20 | 路易威登 |
案例剖析
今年初,Cloudflare发现并阻止了一个利用微软品牌的网络钓鱼活动,该活动试图通过一个合法但被入侵的网站获取凭据。
在下面的电子邮件示例中,尽管电子邮件呈现了文字,但正文中却没有任何文本。整个正文是一个超链接的JPEG图像。因此,如果收件人点击了正文中的任何地方(即使他们并不打算点击链接),他们实际上就是在点击链接。
最初,该图片的超链接似乎是一个良性的百度URL——hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#。但是,如果点击此链接,目标的浏览器就会被重定向到一个已被入侵并用于托管凭据收割机的网站。
攻击者使用了Microsoft Office 365品牌,但试图通过在图片中包含品牌信息来规避任何品牌检测技术(即没有可供检查以识别该品牌的明文或HTML文本)。
不过,Cloudflare使用光学字符识别(OCR)成功识别出了图片中的“Office 365”和“Microsoft”。我们还利用OCR识别了与密码有关的可疑账户诱饵。
在本例中,攻击者的技巧包括:
只包含JPEG图像(没有OCR就无法检测到文字);
在该图片中嵌入一个超链接(点击正文中的任何位置都将导致点击该链接);
超链接到百度URL(用于绕过基于信誉的URL检测技术);
百度URL将收件人的浏览器重定向到一个凭据收集器网站(即可以规避其他无法进行深度链接检查的电子邮件安全防御系统);
在已遭到攻击者入侵的合法网站上托管凭据收集器(即使使用深度链接检测,也会再次尝试绕过基于信誉的URL检测技术);
这种攻击手段利用了百度的高信誉和真实性,绕过了托管凭据收集器的真实主机/IP的信誉。
虽然此次特定活动的重点是获取微软凭据,但研究发现攻击者经常使用类似方法绕过品牌检测技术,诱骗受害者下载恶意软件和其他恶意有效负载。
网络钓鱼活动中经常会出现URL重定向技术,但威胁行为者会滥用越来越多的合法域名(如 baidu.com、bing.coml等),从而不断改进其方法。
| 品牌模拟骗过常见电子邮件防御措施 |
电子邮件身份验证(特别是SPF、DKIM和DMARC标准)是经常提到的可以有效防止品牌假冒的手段:这些标准有助于验证服务器和租户的来源、保护信息完整性、提供策略执行等。
然而,攻击者仍然可以找到绕过身份验证的方法来欺骗电子邮件套件;数据显示,89%不受欢迎的邮件“通过了”SPF、DKIM 和/或 DMARC 检查。
电子邮件身份验证的一些优势和局限性包括:
SPF (发送方策略框架) | 重点优势:
|
局限性:
| |
DKIM (域名密钥识别邮件) | 重点优势:
|
局限性:
| |
DMARC(基于域的邮件身份验证、报告和一致性) | 重点优势:
|
局限性:
|
| 结论和建议 |
攻击者的战术正在不断更新变化。在邮件到达收件箱之前、期间和之后,必须实施多重保护。
所有组织都应将零信任的“永不信任,始终验证”安全模式不仅推广到网络和应用程序,还要扩展到电子邮件收件箱。
除了使用零信任方法确保电子邮件安全外,安全专家还建议:
1. 通过多种反钓鱼措施来增强云电子邮件。
跨多个设备使用消息传递、协作、文件共享和企业软件即服务应用程序都有助于提高员工的工作效率和体验。许多这样的环境都认定成“封闭的”,但如果一个仿冒供应链合作伙伴凭据的网络钓鱼攻击成功,就会使组织面临数据丢失、凭据被盗、欺诈和勒索软件攻击。为电子邮件收件箱开发的保护措施必须覆盖到这些环境,并贯穿员工的日常工作流程。
2. 采用防网络钓鱼的多因素身份验证(MFA)。
虽然并非所有多因素身份验证都能提供相同的安全层,但硬件安全密钥是防止网络钓鱼攻击成功的最安全身份验证方法之一。即使攻击者获得了用户名和密码,这些密钥也能保护网络安全。
3. 降低人类犯错率。
让员工和团队使用的工具更加安全,防止他们出错,从而满足他们的需求。例如,远程浏览器隔离(RBI)技术与云电子邮件安全集成后,可以自动隔离可疑的电子邮件链接,防止用户接触到潜在的恶意Web内容。在不受信任的网站上,键盘输入也可以进行禁用,以保护用户避免在填写表格时意外输入敏感信息或凭据而遭到窃取。这可以有效地允许用户不用中断他们的工作流程即可安全地打开链接,为抵御多渠道网络钓鱼攻击提供了一层防御。
4. 建立多疑但不责难的文化。
鼓励开放、透明的“发现问题、及时报告”方式,与IT和安全事件响应团队进行全天候合作,有助于让每个人参与到网络安全工作中来。遭到攻击时,每分钟都很重要。建立一个多疑但不责难的文化,提前并经常报告可疑活动,以及真实的错误,有助于确保事件(无论多么罕见)能够尽快得到报告。
精彩推荐