【编者按】随着Moderna、辉瑞（Pfizer）和强生（Johnson & Johnson）相继推出COVID-19疫苗，网络犯罪分子的攻击目标是那些渴望接种疫苗的人。根据Barracuda的研究，去年10月至今年1月，与COVID-19疫苗相关的鱼叉式网络钓鱼攻击平均增长了26%。与此同时，Check Point的研究人员在过去四个月里发现了至少294个潜在危险的疫苗相关域。网络犯罪活动的类型各不相同，从发送声称来自美国疾病控制与预防中心（CDC）的恶意电子邮件，到在地下论坛上发布广告兜售的疫苗剂量。但随着疫苗的广泛推广，攻击者在各方面都加大了攻击力度。

　　Barracuda Networks的研究人员表示，疫情引发的强烈情绪，为网络罪犯的猖獗创造了一个完美的环境。攻击者利用人们的恐惧、紧迫感、社会工程和其他常见的策略来引诱受害者。

　　一、基于电子邮件的攻击

　　攻击者正在利用人们对COVID-19疫苗的高度关注来发动鱼叉式网络钓鱼攻击。Barracuda研究人员确定了鱼叉式网络钓鱼攻击的两种主要类型：品牌冒充和企业电子邮件泄露。

　　在制药公司争相开发和测试疫苗之际，黑客们也争相利用新闻报道在其钓鱼活动中的势头，针对企业的鱼叉式网络钓鱼攻击数量在第一批疫苗宣布时达到顶峰。

　　图1  与疫苗相关的网络钓鱼活动时间线

　　虽然Barracuda研究人员分析的大多数与疫苗相关的网络钓鱼攻击都是骗局，但许多攻击使用了更具针对性的技术，如品牌冒充和商业电子邮件泄露。

　　1、品牌冒充

　　与疫苗相关的钓鱼电子邮件冒充知名品牌或组织，其中包括一个钓鱼网站的链接，该网站宣传提前获得疫苗，提供疫苗以换取报酬，甚至冒充医疗保健专业人员要求提供个人信息以检查疫苗的资格。

　　品牌冒充策略包括许多攻击者假装是疾病控制中心，试图说服电子邮件收件人要么点击恶意附件，要么交出自己的凭据。

　　图2  与疫苗相关的网络钓鱼电子邮件

　　Barracuda的研究人员发现，在一项以“第二阶段疫苗接种获得批准”为主题的活动中，使用了CDC的标识分发恶意电子邮件。邮件告诉收件人：“我们很高兴地宣布，第二阶段的疫苗接种已经获得批准。你们当地的卫生和公共服务部门已经决定了第二阶段疫苗的分发方式和时间。单击此处了解有关您所在州/地区计划的更多信息。”随后的链接将受害者带到一个攻击者控制的域，在那里他们要么被要求输入自己的口令，要么恶意软件被下载到他们的系统上。

　　另外，Check Point的研究人员还发现了一个模仿疾控中心的恶意网站，该网站要求受害者提供微软的凭据。该网站伪装成微软Office 365的登录页面，使用微软的图标，要求受害者提供与其账户和密码相关的电子邮件、电话或Skype名称。

　　该主域名（infecture alerts[.]com）创建于2020年4月，人们在2021年1月下旬首次发现有人浏览这个恶意网站，几周前，黑客还使用了另一个类似的子域covid19\.accine\.infect-alert\.com，该域名现在处于非活跃状态。

　　2、电子邮件泄露

　　攻击者使用商务电子邮件泄露（BEC）来冒充组织内的个人或其业务合作伙伴。近年来，已经成为最具破坏性的电子邮件威胁之一，给企业造成了超过260亿美元的损失。商业电子邮件泄露，目的是说服受害者向攻击者控制的账户汇款。

　　最近，这些高度针对性的攻击转向了与疫苗相关的话题。研究人员表示，他们看到来自了员工账户的攻击，这些员工说他们需要在外出接种疫苗时得到“紧急帮助”，或者是来自人力资源专家账户的电子邮件，这些专家称已经为员工获得了疫苗接种资格。这些诱饵通常来自受害者组织内被攻破的电子邮件账户，它们会在电子邮件收件人和攻击者之间展开最初的对话，最终受害者被说服转账。

　　图3  攻击者利用疫苗接种话题冒充组织内个人或业务合作伙伴

　　二、使用泄露账户欺诈

　　Barracuda研究人员看到许多欺诈性的信息是从泄露的账户内部发送的。

　　攻击者利用网络钓鱼攻击来破坏和接管企业账户。一旦进入，老练的黑客会进行侦察活动，然后再发起有针对性的攻击。通常情况下，他们会利用这些合法账户向尽可能多的个人发送大规模的网络钓鱼和垃圾邮件。这就是为什么长期观察这些横向钓鱼攻击时，会发现它们的活动出现了巨大的峰值。有趣的是，与疫苗相关的横向网络钓鱼攻击，在世界各地宣布和批准COVID-19疫苗的同时激增。

　　图4  辉瑞、Moderna、阿斯利康疫苗宣布批准紧急使用后网络钓鱼事件激增

　　黑客还试图通过在地下论坛上销售COVID-19疫苗来迅速获利，这些疫苗据称来自辉瑞/生物科技、阿斯利康和Moderna。

　　卡巴斯基研究人员3月4日在15个地下市场发现了这种疫苗的广告，并警告称，没有迹象表明这些疫苗剂量是合法的。许多卖家的交易量在100到500笔之间。目前还不清楚有多少疫苗销售商在分销真正的药物。

　　疫苗每剂的价格从250美元到1200美元不等，平均在500美元左右。通常情况下，支付是以比特币的形式进行的，这样卖家就能隐藏自己的身份，从而使支付更难追踪。进一步的分析表明，在Moderna和辉瑞的疗效公布后，疫苗的定价大幅上涨，广告数量也大幅增加。卖家主要来自法国、德国、英国和美国，通信使用加密的消息应用程序，如Wickr和Telegram。

　　去年12月，欧盟执法机构欧洲刑警组织（Europol）对此类暗网活动发出了警告，警告消费者不要在网上寻找疫苗替代品。

　　三、防范与建议

　　COVID-19流行以来，网络钓鱼攻击和其他与疫情有关的恶意活动一直在增加，包括利用解除冠状病毒封锁以及金融救济诈骗的攻击。自大规模推广疫苗以来，网络犯罪分子还利用疫苗作为诱饵，例如用于复杂的Zebrocy恶意软件活动。

　　为了防范攻击，避免成为此类骗局的受害者，建议采用以下最佳做法：

　　● 对与疫苗相关的电子邮件保持警惕：注意电子邮件中典型的网络钓鱼危险信号，包括提前获得COVID-19疫苗、加入疫苗等候名单，并将疫苗直接邮寄等。不要点击邮件中的链接或打开附件，因为它们通常是恶意的。

　　● 充分利用人工智能：攻击者正在调整电子邮件策略，以绕过网关和垃圾邮件过滤器，因此，有一个检测和保护鱼叉式网络钓鱼攻击的解决方案是至关重要的。这些攻击包括品牌冒充、商业电子邮件泄露和电子邮件账户接管。部署专门构建的技术，该技术不完全依赖于寻找恶意链接或附件。通过使用机器学习来分析组织内的正常通信模式，解决方案可以发现可能指示攻击的异常情况。

　　● 部署账户接管保护：不能只关注外部邮件。一些最具破坏性和最成功的鱼叉式网络钓鱼攻击源自内部账户泄露。确保黑客没有利用你的组织作为大本营发动这些攻击。通过添加识别内部电子邮件何时被泄露的保护措施，确保不会发生商业电子邮件泄露类型的攻击。

　　● 培训员工识别和报告攻击：为员工提供有关疫苗相关网络钓鱼、季节性欺诈和其他潜在威胁的意识培训。确保员工能够识别最新的攻击，并知道如何立即向IT部门报告。使用针对电子邮件、语音邮件和短信的网络钓鱼模拟来培训用户识别网络攻击，测试培训的有效性，并评估最易受攻击的用户。

　　● 制定强有力的内部政策以防止欺诈：所有组织应制定并定期审查现有政策，以确保个人和财务信息得到妥善处理。帮助员工避免犯代价高昂的错误，建立指导方针，制定程序，确认所有电汇和付款变更的电子邮件请求。所有金融交易都需要多人亲自或电话确认或批准。