黑客们正在“深海钓鱼”,我们该如何应对?
2021-11-03
来源:嘶吼专业版
黑客正在使用一种我称之为“深海网络钓鱼”的方法提升他们的攻击水平,即结合使用下面我将提到的一些技术来使自己变得更具攻击性。为了跟上步伐,网络安全创新者一直在努力开发工具、技术和资源来提高防御能力。但是,组织如何才能应对尚未启动甚至尚未构想出来的不断演变的威胁呢?
例如,今年2月,10,000名Microsoft用户成为网络钓鱼活动的目标,该活动发送声称来自FedEx、DHL Express和其他快递公司的电子邮件,其中包含指向托管在合法域上的网络钓鱼页面的链接,目的是获取收件人的工作电子邮件凭据。使用合法域名可以使电子邮件逃避安全过滤,而人们因疫情而对快递服务以及相关信息的依赖提高了钓鱼活动的成功率。
今年5月,攻击者发起了大规模、复杂的以支付为主题的网络钓鱼活动。网络钓鱼电子邮件敦促用户打开附加的“付款建议”--实际上,这根本不是附件,而是一个包含指向恶意域链接的图像。打开后,基于Java的STRRAT恶意软件被下载到端点上,并通过命令和控制(C2)服务器连接运行后门功能,例如从浏览器收集密码、运行远程命令和PowerShell、记录击键和其他犯罪活动。
网络钓鱼也不再是一直在地下酝酿的小规模网络骚扰。如今,近70%的网络攻击(如上所述)是由有组织的犯罪或与民族国家有关联的行为者精心策划的。随着许多recovery tab达到数百万,组织需要一个解决方案来保护他们免受尚未设计的攻击,即可能造成最大损害的0day攻击。
但是在我们解决防御问题之前,让我们首先看看我们要防御的对象。下面提到的网络钓鱼策略的类型按复杂程度的升序排列出。
网络钓鱼的类型
并非所有网络钓鱼攻击所造成的损害都是相同的,但所有网络钓鱼攻击都将在设计上对组织造成损害,可能涉及巨额财务支出、补救成本、收入损失和声誉受损。攻击范围从典型的网络钓鱼电子邮件到复杂的鱼叉式网络钓鱼计划和“捕鲸”。
?钓鱼邮件
普通的网络钓鱼活动中,网络钓鱼者向一大群收件人发送电子邮件,他们有充分理由期望收件人中的一小部分人会点击。网络钓鱼电子邮件通常设计为看起来像是来自受信任公司的官方消息。然而,当收件人点击电子邮件中嵌入的看似无害的链接时,恶意软件可能会直接下载到他们的设备上,或者打开恶意网页,下载恶意软件或要求输入凭据、帐号或其他有价值的数据等个人信息。
?鱼叉式网络钓鱼电子邮件
与广泛撒网的网络钓鱼不同,鱼叉式网络钓鱼电子邮件具有高度针对性,针对特定的个人或组织。网络犯罪分子使用社交媒体和其他公共信息为特定个人创建个性化电子邮件,并伪装成受信任的发件人。
例如,在4月,5亿个LinkedIn帐户的个人信息从社交媒体平台上被抓取和泄露,并作为鱼叉式网络钓鱼攻击的诱饵出售。由于鱼叉式网络钓鱼电子邮件是个性化的,因此收件人更有可能点击其中的恶意链接,甚至在登录页面上输入凭据。
?捕鲸
捕鲸是鱼叉式网络钓鱼的一种形式,其目标是首席执行官和首席财务官等知名人士,以获取高度敏感的个人或业务数据。“发件人”可能伪装成业务伙伴、客户或有关键业务问题需要目标个人解决的人。捕鲸电子邮件的主要目标是窃取敏感的商业信息。
鱼叉式网络钓鱼和捕鲸与一般网络钓鱼攻击的不同之处在于使用个人和专业数据,在接收者眼中建立更高的合法性。它们是每个人都需要防范的一种成功率很高的网络钓鱼形式。
网络犯罪分子的成功主要还是归因于个人
更复杂的网络钓鱼攻击需要更多的开发时间和精力,投资会以更大的预期得到回报,尤其是在恶意软件分层时。这些方法对犯罪分子仍然有效:事实上,根据对全球MSP的调查,67%的受访者表示网络钓鱼电子邮件是勒索软件攻击最常见的传递渠道。
许多公司要求员工定期接受反网络钓鱼培训,但是员工培训并不足以保护组织,因为人是网络安全链中最薄弱的环节。人是容易上当受骗的、习惯驱动的生物,我们很容易就会点击危害组织整个网络的链接。
Verizon的2021年数据泄露调查报告(DBIR)的最高发现指出,85%的泄露涉及人为因素,36%涉及网络钓鱼(比上一年增加11%),10%的泄露涉及勒索软件--是前一年的两倍年。
勒索软件-网络钓鱼链接
各种规模的组织都应该考虑勒索软件攻击(通常始于网络钓鱼)会对他们的绩效、财务稳定性和未来产生什么影响。更重要的是,他们应该评估他们的网络安全策略和安全架构。
据SonicWall称,自2019年以来,勒索软件攻击增加了62%。
这种冲击包括小型企业。估计有一半的网络攻击都针对这一群体,他们可能没有与大型组织相同的网络钓鱼意识培训。由此产生的收入损失和补救成本、停机时间、声誉损害和法律费用对小型企业来说都是巨大的打击。
勒索软件在不停发展……
新的发展使勒索软件更具威胁性。根据FBI的说法,Ryuk是目前勒索金额最高的软件。现在,它还添加了类似蠕虫的功能,这使得它不再依赖于人为点击来传播。这是一个重大的令人担忧的情况。
考虑一下:初始感染仅在几秒钟内发生。当用户单击网络钓鱼电子邮件中的链接时启动的勒索软件会迅速开始在整个网络中横向传播,对PC和服务器进行加密,从而最大限度地造成损害-并为瞄准您组织的网络犯罪分子带来最大利润。
然后勒索软件会读取受感染的文件,搜索用户凭据,使其能够通过网络计算机或映射驱动器之间的远程桌面连接更快地传播。在云上备份数据虽然是一种很好的做法,但未必就完全足够。
复杂的勒索软件可以将共享网络驱动器和云备份服务上的文件作为目标,从而使您的整个组织陷入瘫痪,让您受到网络犯罪分子的肆意摆布。
勒索软件的影响也可能远远超出业务本身。例如,5月份对Colonial Pipeline(一家拥有900名员工的公司)的勒索软件攻击导致5,500英里长的管道关闭,而这些管道输送着美国东海岸45%的燃料供应。迫于为依赖管道提供燃料的数千万人和组织恢复服务的压力(包括医疗服务、执法机构、消防部门、机场和广大公众),该公司不得不支付440万美元的赎金。
人的行为是很难改变的
一封电子邮件只需要在一个易受攻击的时刻命中,其诱饵就会引诱收到它的员工,让该人点击网络钓鱼电子邮件中看似合法的链接来下载受感染的文件。面对当今的0day威胁和高级恶意软件,需要比基于签名的扫描技术和查找已知恶意域更强大的防御。
组织不能依赖其用户作为抵御网络钓鱼的最后一道防线。毕竟,用户漏洞是网络钓鱼如此有效和被广泛使用的原因。也不要责怪您的员工:网络犯罪分子是人类行为研究和利用方面最为最老练的专家。
防御选项:远程浏览器隔离
出于种种原因,必须考虑一种非常不同的方法,即假定漏洞存在时防止暴露于恶意软件和勒索软件的方法。随着网络钓鱼攻击变得越来越多层次和多方面,很难说下一个网络犯罪的新方法将是什么,因此面向未来的观念变得很重要。
远程浏览器隔离(RBI)为组织提供了防御,即使是最复杂的基于Web的攻击。当用户单击电子邮件中的链接或打开新的浏览器选项卡时,RBI会在位于云中远程隔离容器中的虚拟浏览器中执行Web内容。只有安全的渲染数据才会发送到用户的常规端点浏览器,从而提供完全交互式的常规浏览体验。没有Web内容到达用户设备,并且可以以只读模式打开具有潜在风险的站点以防止凭据被盗,因此用户可以100%免受恶意网站和网络钓鱼电子邮件中URL的恶意软件攻击。
网络钓鱼不仅存在,而且每天都在变得越来越先进和危险。接受人类易犯错误和容易被操纵的这一点至关重要,因此组织不应当将重点放在培训上,而是要选择有效保护组织免受网络犯罪分子影响的解决方案。使用RBI来隔离用户并使他们与恶意电子邮件链接和网络钓鱼站点的危险“隔绝”,是一种很好的方法,组织可以采用这种方法来使自己远离网络钓鱼。