网络钓鱼攻击的目的包括:
- 窃取数据及金融诈骗
- 高级持续性威胁(APT)
- 恶意软件传播
网络钓鱼这种攻击方式早就存在,但至今仍受攻击者青睐。在搭建了合适的钓鱼网络、收集了信息以及放置诱饵之后,攻击者可入侵任何公司、组织甚或政府机构,造成极大破坏。实际上,时至今日,网络钓鱼仍是最有效、最受攻击者欢迎的攻击向量。
数据窃取与金融诈骗
根据PhishLabs于2016年所作研究,2015年22%的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪。通过这种攻击方式,攻击者获利颇丰,所以该类事件不胜枚举。例如,2016年初针对木兰健康公司(Magnolia Health)的攻击中,一钓鱼网络假冒该公司CEO发送邮件。这就是所谓的伪造邮件钓鱼攻击,直接造成公司员工数据泄露,包括员工的社保号、工资标准、出生日期、通信地址、姓名全称以及工号。
当然,木兰公司并非个例。2014年底与2015年初就发生了有史以来最大的医疗行业数据泄露事件,这次的目标是Anthem公司。该事件泄露了3750万份数据,涉及Anthem员工及病人。黑客窃取了姓名、通信地址、社保号、医疗识别号、收入数据、Email地址等,但并未窃取健康相关信息。
木兰公司的数据泄露事件确认为网络钓鱼导致,Anthem事件中所运用的实际攻击方法一直未有定论,不过,有专家认为应是网络钓鱼的变种。黑客先获取了IT管理员凭证,在之后的两个月中,随意出入公司的数据库。当然,Anthem对失窃文件未进行加密加剧了问题。
美国联邦调查局(FBI)于2016年年中时发布警告,称2016年上半年网络钓鱼攻击造成的经济损失高达31亿美元。这还仅仅是6个月的统计数字。最主要的威胁来自于企业邮件入侵(BEC)攻击。FBI还警告,“BEC诈骗数量持续增长,手段不断翻新,各种规模的企业均是其目标。自2015年1月以来,确认由数据泄露造成的损失增长了1300%。全美50个州、全球100多个国家均有此类事件发生。报告显示,诈骗金额被转往79个国家,主要是位于中国和香港的亚洲银行。”
网络钓鱼APT
APT也是一种网络攻击者喜欢的攻击方式。总的来说,这是一种长期感染或安全漏洞,可能持续数周、数月甚至长达一年而不为人知。这些攻击中没有“最常见”的目标,基本上,任何人都可能被攻击。各种规模的企业、非盈利组织甚至政府机构都可能遭遇APT攻击。还有一点很重要,APT多与外国政府和军方有关,而非常规的钓鱼网络。
过去几年间有数起成功的APT攻击。其中最有名的包括2009年的极光行动、2011年的HBGary Federal攻击、同年发生的RSA攻击以及之后的震网(Stuxnet)、APT1(涉及中国军方)和APT28(涉及俄罗斯军方)。这些攻击持续时长不等,但方法相似,都始于鱼叉式钓鱼攻击。
APT有如下特点:
- 持续进行活动;
- 目的明确;
- 一般针对行事高调的目标;
- 属于“诱捕式”攻击。
诱捕式攻击指目标一旦上钩,攻击者便会长期潜伏,持续攻击受害人。多数钓鱼攻击类似于肇事逃逸,持续时间相对较短,但APT会持续很长时间。之所以这样,部分原因是受害者一般很难发现攻击,因而也就无法进行响应。
如上所述,APT针对特定目标,以实现特定目的。APT的任务从窃取资金到收集敌对政府的情报甚至是实现政治目标不一而足。它们还经常针对数字资产,如核电厂设计或高科技原理图。
典型的APT攻击包括如下6个主要步骤或阶段:
- 攻击者收集目标的信息,常用方法是社会工程,其他方法还包括网页抓取、通过聊天室和社交网络进行人际互动等。
- 攻击者构造并发送钓鱼邮件和/或消息,内容针对目标量身定制,真伪难辨,包括真实姓名、电话号码、地址以及用以骗取信任的其他细节信息。
- 目标打开邮件,进行操作:点击链接打开受感染或伪造的网站,或下载受感染的文档。不管哪种情况,目标都已受骗上钩。
- 用户所使用的系统被入侵。
- 入侵系统接下来会感染目标组织、公司或机构的整个网络。
- 攻击者伺机攻击目标获取数据。最后,APT组织会提取数据并进行解析和整理。
一旦感染并控制了目标,APT实施者便能够进一步植入恶意软件、病毒和其他威胁。例如,可部署远程访问木马(RAT),让APT组织长驱直入,访问网络中的任何数据。取得控制权后,APT组织会潜伏下来,监听并窃取信息,直到受害人发觉网络被入侵,而在这之前,攻击者一般有充足的时间不慌不忙地收集数据。
恶意软件传播
有些钓鱼攻击诱骗用户在假冒网站或Web表单中输入信息以窃取凭证,而有些则有进一步企图。恶意软件由来已久,不过现在的它们比过去要高级得多。在受害者系统中安装恶意软件是钓鱼网络在渗透并感染目标公司或组织时最喜欢的一个方法。钓鱼组织主要通过两个手段实现这个目的。
其中一种是通过恶意附件感染目标系统。这种情况下,要精心构造邮件并发给个人。邮件中包含附件,或为Word/PDF文件,或为其他格式的文件。无论哪种情况,邮件发送人看似都很可信,比如,可能是同事、老板、金融机构等。
最好的情况是杀毒软件在此类附件打开前进行扫描并检测到恶意软件。然而,即使是最新的杀毒软件有时也无法对压缩文件进行彻底扫描,风险依然存在。
勒索软件在钓鱼网络中的地位日益凸显,是最可怕的恶意附件之一。不过,勒索软件还可以通过受感染网站下载,这意味着邮件附件并不是攻击者的唯一选择。勒索软件恰如其名。这种恶意软件先感染目标系统,然后进行加密,这样就如同控制人质一样控制了硬盘中的所有数据。在个人、公司或组织支付赎金后,攻击者释放文件。消费者、CEO甚或警察局都曾被如此勒索过。
通过附件传播恶意软件时还能使用宏病毒。这种病毒常用于感染微软Office文件,启动程序或进行特定操作都会触发病毒。
钓鱼网络感染受害者时使用的另一个手段是恶意链接。这种情况下,邮件中包含的不是恶意附件,而是URL。邮件或社交媒体消息的目的是诱骗目标点击链接。一旦点击,计算机中就开始下载代码,或者用户被定向至病毒/伪造网站,恶意软件乘机植入到计算机中。
恶意链接比恶意附件更有效,因为钓鱼网络竭力使消息看起来真实可信。前述木兰公司攻击中所使用的邮件就是这样一个典型例子。邮件内容各不相同,但如下几种最常见:
- 通知用户其账户被黑或遭遇某种恶意行为;
- 通知用户进行操作以避免账户被冻结或验证身份;
- 通知用户检测到金融账户存欺诈行为。
其他类似方法还包括抢注域名和误植域名,这两种方法依赖的都是正确拼写的URL的变体。抢注域名是指注册和实际公司域名非常类似的域名,然后再模仿真实公司网站伪造另一个网站。误植域名的过程大同小异,但利用的是输入公司域名时常见的打字错误。
最后,网络钓鱼仍是攻击者最灵活、最有效的武器之一。此外,随着时间的推移,钓鱼攻击有增无减。公司和组织对于此类风险总是后知后觉,而在实施安全规程、进行必要培训以抗击日益增多的威胁方面行动更为迟缓。之所以这样说是因为安全事件越来越严重,受影响公司既包括家得宝这样的零售公司,也包括Anthem这样的大型企业集团。
本文作者:绿盟科技
来源:51CTO