搜狐|搜狐不是唯一,6000多域名被用于“钓鱼邮件”诈骗

【搜狐|搜狐不是唯一,6000多域名被用于“钓鱼邮件”诈骗】搜狐|搜狐不是唯一,6000多域名被用于“钓鱼邮件”诈骗

作者:郝俊慧 来源:IT时报
谁都没想到 , 一种最古老的攻击方式 , 竟然成功袭击了著名的互联网公司 。 近日 , 搜狐员工被钓鱼邮件诈骗的事件冲上热搜 , 尽管搜狐董事会主席张朝阳发博称损失影响不大 , 但这毕竟是件令人诧异的事 。 然而 , 事实上 , 这只是邮件钓鱼威胁的冰山一角 。
根据奇安信威胁情报中心的持续跟踪 , 推测该钓鱼活动可能于2021年12月底左右开始 , 至今约有6000个域名被用于攻击 。 目前该钓鱼活动还在持续进行中 , 攻击者仍在不断更新升级系统 , 更新基础设施 。


(Photo by Luca Bravo on Unsplash)
国内更多企业被攻击 。 据《IT时报》记者了解 , 最近多家上海企业都发出警惕“诈骗邮件”的警告 , 包括国企和互联网公司 。
专家详解诈骗流程
钓鱼邮件攻击 , 自有电子邮箱出现以来便开始存在 , 称得上是“古早级别”的攻击手段 , 然而 , 尽管这种攻击模式最简单 , 却也最有效、最具迷惑性 。
“这种骗术已经存在好长时间了 , 但最近比较集中地出现 , 估计国内受害者相当多 。 ”腾讯安全专家李铁军告诉记者 , 搜狐事件一发酵 , 腾讯安全团队便想起数星期前其他公司也发生过类似的事件 , 手法完全一样 。
通常情况下 , 诈骗团队会先想方设法拿到某一个内部员工的ID , 然后再冒用其身份给同事发邮件 , 并给出一个二维码 , 员工扫码登录后 , 便会打开一个“钓鱼”网页 。 诈骗分子十分狡猾 , 手机上显示的网页大部分时候是看不到网址的 , 因此受害人很难发现已经不是自己公司官网地址 , 随后根据提示输入银行卡号、身份证号、手机号等关键信息 。
此时 , “钓鱼”网页背后的“黑客”已经拿到了这个人的身份证号、手机号、银行卡号 , 而攻击者则会在另外一个地方消费 , 并输入受害者的手机号码 , 将验证码会发送至手机上 。 一旦受害者不注意 , 直接将验证码提交填写 , 那交易便成功了 。
尽管手法很简单 , 但由于诈骗邮件是以公司为后缀的邮箱发出 , 从一开始便骗过了受骗员工 , 因此迷惑性非常高 。 据奇安信联合Coremail发布的《2020中国企业邮箱安全性研究报告》显示 , 2020年 , 全国企业邮箱用户共收到各类钓鱼邮件约460.9亿封 , 同比增长达33.9% 。 与钓鱼邮件数量同时增长的还包括带毒邮件(即邮件附件含有病毒等恶意软件) , 数据显示 , 2020年 , 全国企业级用户共收到约492.1亿封带毒邮件 , 同比增长了16.0% 。
零信任确保实时安全
针对近期猖獗的邮件威胁 , 不同安全厂商都提出了相应的解决方案 。 奇安信提出 , 政企机构应部署邮件安全系统 , 具备对恶意钓鱼邮件实时检测和告警的能力 , 及时捕获恶意钓鱼行为 , 拦截邮件系统中的病毒邮件 , 可有效避免或减少损失 。 腾讯安全则认为 , 有条件的政府企业应该部署零信任机制 , 或也可将其称之为多重验证身份验证的机制 。
据了解 , 奇安信网神邮件威胁检测系统可以基于邮件行为检测模型、机器学习模型 , 精准发现各种类型的钓鱼链接 , 诸如福利补贴、调查表填写、系统升级、银行通知、账户验证等等;其次 , 可以对邮件的链接地址进行静态判定 , 并对邮件附件进行动态沙箱检测判定 , 高效识别邮件的恶意链接、恶意附件 。 其中值得一提的是 , 机器学习引擎基于云端数据可进行自主训练 , 通过自适应学习引擎、综合检测引擎及URL增强判定引擎进行综合检测 , 在不同的企业环境下自适应学习并准确高效地检出钓鱼URL 。
李铁军则更强调“零信任机制” , 所谓“零信任” , 是指系统对用户处于“时时不信任状态” , 即便攻击者拿到了受害者的用户名和密码 , 但在零信任机制的保护下 , 攻击者登录时也很容易被系统识别出漏洞 , 比如登陆地、登陆设备与以往不同 , 此时 , 系统会要求登录者提供更多的验证手段 , 比如动态口令、令牌、动态密码、手机密码等等 , 增加登录门槛 。 此外 , 即使登录成功 , 当攻击者访问一些关键系统时 , 同样可能被要求二次验证 , 门槛会再次提高 。 也就是说 , 通过持续验证、动态授权的方式 , 确保系统对登录者的安全性时时保持警惕 。
“最重要的 , 当然还是要加强员工的安全教育与培训 。 企业要针对性地帮助员工提升安全意识 , 进行各类实战攻防演习等安全活动 , 降低由于员工缺乏意识或无意之间的意识弱化导致的安全风险 。 ”奇安信行业安全研究中心主任裴智勇表示 。


推荐阅读