钓鱼邮件指利用伪装的电子邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人访问特制的网页,这些网页通常会伪装成和真实网站一样,输入信用卡或银行卡号码、账户名称及密码等而被盗取。
近日,安全公司Keepnet Labs对过去一年间41万份网络钓鱼电子邮件的数据进行统计,发现电子邮件钓鱼攻击的“打开率”、“点击率”(点击恶意链接或者附件)和“转化率”(泄露信息)都高得惊人:每2名员工中就有1名打开并阅读网络钓鱼电子邮件;每3名员工中就有1个点击钓鱼电子邮件中的链接或打开文件附件;每8名员工中就有1名向攻击者泄露网络钓鱼电子邮件中要求的信息。
此外,观察近年来各大APT组织的攻击过程,钓鱼邮件成了一种常用的手法。它是一个的打开内网通道的入口点,邮件可以携带文字、图片、网址、附件等多种信息媒介,结合社工手段可以对未经训练的人群进行“降维打击”,而且钓鱼邮件还可以做到很强的针对性,对于运维部门、企业高管等较高价值目标还可以做到精准打击。
钓鱼邮件丰富多彩多种多样,但是主流的攻击方式大概可以分为以下几种:
(一) 邮件正文插入恶意链接
这是一种最基础的攻击方式,就是在邮件正文中放入一个恶意诱导链接,等待用户进行点击,链接后面是一个伪造的网站,可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。
诚然这种攻击方式比较老套了,时至今日大家基本的办公安全意识也都提高了,邮箱里面直接插入链接都不会轻易点击。
但是道高一尺魔高一丈,攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等,以提高内容可信度,诱导用户点击链接。
(二) 邮件附件藏毒
此类也是常见的一种,攻击者的payload含在邮件附件里,载体有直接的文档、图片、压缩包、脚本程序(exe、vbs、bat)等。
直接发送脚本程序诚然是最直接的,但是容易被邮箱安全机制拦截或者人员识破,但攻击者会使用一些伪装手段,如使用超长文件名隐藏后缀等。
根据ASRC 2019 年邮件安全趋势回顾中提到的,最常用来攻击的办公文件为Word文件,其次为Excel文件。此类恶意文档简单的是利用宏代码调用powershell进行命令执行,高级的直接利用office等客户端软件漏洞。而ZIP压缩格式较常被用来夹带恶意文件,用于躲避邮件沙箱或者安全杀软的直接查杀。
(三) 利用软件漏洞攻击
此类做法主要是使用邮件进行投递攻击武器,武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞,此类攻击需要配合操作系统/浏览器的 0day 或者 Nday,而且需要对攻击者使用的终端应用软件进行比较精准的识别,因此攻击成本较高,但是最终的效果还是很不错的,如利用邮箱的xss漏洞获取了大量员工邮箱账户cookie信息。
其他常见利用的漏洞有windows系统漏洞、office漏洞、Winrar目录穿越等。
(四) 利用邮件协议漏洞攻击
主要利用了邮箱本身安全设置问题,若邮箱地址没有设置spf,那么就会有人假冒真实域名发送邮件。
(五) 邮件发件人身份“伪造”
这里面伪造笔者使用了引号,为什么呢?这个伪造可能是使用真实的发件人邮箱身份,如攻击者通过一些方式窃取了一些真实可信的邮箱身份。
当然还有一些曲线救国的方式,如果通过邮箱直接攻击B单位人员无法成功,那么攻击B单位的上级单位或者有较强业务往来的A单位人员邮箱,然后利用B对A的可信度,伪造邮件向其索要一些敏感信息或者要求安装一些异常软件等。实际的对抗中听过某攻击队通过此方式直接获得了目标单位全员信息(姓名、电话、邮箱、住址)。
分享标题:什么是钓鱼邮件?它的攻击方式有哪些?
分享URL:
http://chengdu.cdxwcx.cn/article/sossdo.html