10类新型网络钓鱼攻击及防卫不可掉以轻心

 

尼日利亚王子电邮一类的东西不值一提

今时今日的针对性网络钓鱼之复杂，甚至连最有经验的安全专家也会上当

网络钓鱼电子邮件几十年以来一直是计算机世界的祸害，尽管我们做了最大的努力对其进行打击，努力却没有什么成效。我们大多数人一看电邮的主题就知道是钓鱼电邮，会将其删除，不会打开它。有时候我们不能完全确定是不是钓鱼电邮，打开后也会即刻从内容上知道发邮者是在钓鱼，这种邮件的特点是称呼非常正式、外国血统、拼写错误以及非常卖力地想送给我们几百万不劳而获的美金或是向我们兜售疑点重重的产品。在大多数情况下，这种网络钓鱼之举威胁颇小，我们用删除键就解决了。

现在来看看针对性钓鱼(Spearphishing)：针对性的钓鱼法行之有效，甚至可以对付最有经验的安全专家。为什么呢?因为这些钓鱼法是出自专业人士之手，他们似乎了解你的生意、你目前的项目、你的兴趣等等。他们不会试图向你推销任何东西，或自称可以送钱给别人。事实上，时下的针对性钓鱼的目的往往要比简单的盗窃金钱险恶得多。

下面我们就来看看当今最先进的针对性钓鱼个各类招数——以及如何防止自己误中他人的高招。

招招出自专业罪犯之手

传统上，网络钓鱼邮件出自一些下三路的骗子，他们采取的办法是广撒网：草草的一个信息，然后大肆发放垃圾邮件。总归有人上当。事实上，网络钓鱼的意图越明显越好，原因是这样可以确保抓住的是最容易上当的糊涂蛋。

一路走来，套数变了。专业犯罪分子和有组织犯罪团伙开始意识到，发些更像样的垃圾邮件可以捞到不少钱。布赖恩·克雷布斯(Brian Krebs)2015年的畅销书《垃圾邮件国度》跟踪了专业犯罪团伙在俄罗斯的兴起，这些团伙每年进账数百万美元，支撑着多个大公司，其中一些公司披着合法的外衣，其股票可以在证券交易所买进卖出。

一些主权国家也加入了这个游戏，他们意识到精心制作的电子邮件可以帮助他们绕过最坚固的防御，要做的是瞄对员工。今天的绝大多数高级持续性威胁(APT)都是通过发几封电子邮件到公司内部的受害者而找到最初的落脚点。

现在的专业网络犯罪分子每天朝9晚5上班、缴税、周末和节假日不上班。他们工作的公司往往有几十名到几百名员工，公司会贿赂当地执法部门和政治家，公司也往往被视为其所在地区的首选雇主。这些公司为的就是攻入其他国家的企业，在这种公司工作常常像戴着一枚爱国徽章一样值得自豪。

这些专业黑客作坊雇了一队队的劳动力。营销团队往往是由高管负责，找愿意付钱攻取一个特定公司的信息的客户，通常这些公司也会按要求攻击任何一家公司，然后将所得信息作营销用。

而研究和监测小组则负责收集有关目标公司的组织结构、业务合作伙伴、可从网络访问的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站以及闯入相关公司的一些保护较弱的商业合作伙伴获得大部分的信息。

所获取的信息会交给一个初步攻击人员团队，他们从目标组织内部建立锚点。该团队是专业黑客作坊里最重要的团队，它又被分成几个技术小组，每个小组重点负责一个特定的领域：攻入服务器、启动客户端攻击、进行社会工程攻击或展开针对性钓鱼。针对性钓鱼小组与研究小组紧密配合，他们会和设计电子邮件模板的人员一起将各类相关的议题和项目混合起来。

另外还有其他团队。建立了初始入口后，后门团队接手，确保以后可以方便进入，他们会植入木马后门、创建新的用户帐户以及清理受感染的组织中所有的登录资料。

还有，和所有上等的咨询公司一样，会有一个长期团队专门负责该“客户”。该团队的作用是四处寻找详细介绍组织结构和组织主要人士的重要信息。在很短时间内，他们就会知道公司建立的每一个防御体系以及如何绕过它。当一个新的项目或大量数据上线时，该团队就会第一时间知道。任何有潜在力的信息都会被复制保管起来，以备在以后销售时派上用场。

过去我们听说的大凡是一个编程毛孩子在网吧草草地写个电子邮件，现在不一样了，这也就是为什么今天的钓鱼攻击效率要高得多。现在这些事就是一份全职工作，要在面试过关斩将才会被雇佣，工资、福利和项目奖金一应俱全。甚至还要签保密协议，也有HR麻烦和部门政治。

可别搞错了：钓鱼邮件专业化了。

攻击是熟人发送的

今天的针对性钓鱼邮件往往来自一个熟人，你基本上每天都和Ta交换邮件，针对性钓鱼邮件不是来自尼日利亚王子。这些邮件经常看上去是老板、团队负责人或其他管理层的权威人物发的，以确保受害者会打开电子邮件，而且还可能会照邮件所说的去做。

这些电子邮件也可能来自外面的、相似的电邮账户，目的是要和权威人士的个人电子邮件帐户相似。谁没有收到过同事不小心用自己的个人账户发的与工作有关的电子邮件呢?我们都知道这种错误时有发生。

这种电邮也可能来自与流行公共电子邮件服务器(Hotmail、Gmail等等)相似的账户，发送者自称现在用这个以前没用过的帐户，因为他们的工作电子邮件被锁住没法用了。还是那句话，谁没经历过这种事呢?

但最可能的是，假冒钓鱼邮件看起来是来自其他人真正的工作电子邮件地址，有两个可能的原因，一是因为网络钓鱼组织能够从外部发送虚假的工作电子邮件地址，或是因为网络钓鱼组织已经成功地攻破对方的电子邮件帐户。后者已经成了流行的攻击方式，谁会不去点击老板发来的链接呢?

攻击包括你正在做的一个项目

许多针对性钓鱼受害者坠入陷阱是因为发送者似乎知道他们目前正在做什么项目。原因是这些发起针对性钓鱼的人在这上面花过时间，或是他们已经控制一个同事的电子邮件帐户有一段时间了。电子邮件可能包括一个诸如“这是你正等着收取的某某项目的报告”或“这是我对你发来的报告的修改”的主题，电邮还有一份最初由接收方发送的附加副本，不过里面加了个新的、自动运行的恶意链接。主题也有可能会提到一个项目的可行性，诸如“你觉得这会影响到我们的项目?”的问题或诸如“有人击败了我们!”的感叹，邮件里则会有一个链接，指向似乎与项目相关的恶意新闻文章。

笔者见过声称是来自律师的邮件，说是要求增加某个正在办离婚的人的子女抚养费。笔者也见过专业组织领导人发给全部组织成员的钓鱼邮件。我也见过发给C级官员的电子邮件，声称手里拥有正在打官司的案件信息，电邮要求接收者运行可执行文件对附件里的保密PDF文件“解锁”。我见过发给IT安全专家的虚假更新，声称电邮含来自供应商提供的安全更新，是给他们最近购买和安装的一个产品用的。

电子邮件的主题和正文内容现在已经不是“看看这个!”一类的东西。现在不一样了，针对性钓鱼电子邮件来自你信任的、你正在做的一个项目里的人。阁下在读了这么多以后，怕是巴不得收到的电邮是有关假的亲人病危消息和伟哥广告，收到此类电邮毕竟不是那么令人担心。

你的攻击者一直在监视你公司的电子邮件

今时今日，公司攻击者无时不在监控着你公司的几十个电子邮件帐户。他们这样做是为了获取用来欺骗你同事的资料，并且获取你的公司里最敏感和最有价值的信息。

如果你发现公司已经被侵入，那就要假定所有C级员工和VIP电子邮件帐户已经被攻陷，而且要假定已经有很长一段时间是这样了。甚至一开始的发现坏蛋的报告都有可能被坏蛋读到。他们知道你知道什么。

(责任编辑：admin)