如何防禦延遲釣魚攻擊

企業員工收件箱中的釣魚連結經常在初始掃描之後才被啟動,但是我們仍然有辦法(當然也必須)檢測出它們。

長期以來,釣魚攻擊一直是企業網路安全的主要威脅之一。無論是郵件服務供應商還是郵件網關,甚至是瀏覽器,都在使用反釣魚過濾規則和針對惡意網站的掃描器對其加以防範。因此,網路不法分子們也一直在研究繞過安全機制的新方法,其中就包括延遲釣魚攻擊。

何為延遲釣魚攻擊?

延遲釣魚攻擊試圖通過”投遞後武器化URL”技術引誘受害者訪問惡意的或者偽造的網站。正如它的名稱所示,該技術在惡意郵件投遞成功之後才將連結所指向的網站變為惡意站點。換句話說,當潛在受害者剛收到郵件時,郵件中的連結往往指向的是不存在的網站,或者是雖然已經被入侵但暫時還沒有出現惡意內容的正規網站。安全軟體中的保護算法從郵件中提取連結,對其指向的網站進行掃描,然而沒有發現任何危險內容,於是允許郵件投遞。

在郵件投遞之後的某個時刻(理想情況是在郵件被打開之前),攻擊者對郵件中連結指向的站點進行修改,在之前無害的頁面上加入惡意內容。具體情況有各種可能,也許是偽造為銀行網站,或者是利用瀏覽器漏洞在受害者電腦上下載惡意程式,而在大約80%情況下則是將其變為釣魚網站。

如何繞過反釣魚算法?

網路不法分子使用以下三種方法之一來繞過檢測規則。

  • 使用普通的連結。在這種情況下,目標站點要麼是攻擊者自己搭建的,要麼是遭到了攻擊者的入侵劫持。不法分子們通常更喜歡後者,因為這樣一來目標站點一般帶有偏向正面的聲譽,也更容易欺騙安全算法。在郵件剛剛投遞時,連結指向的通常是毫無意義的站點,或者(大多數情況下)是404錯誤頁面。
  • 短連結偷換。很多在線工具都可以將過長的連結轉變為短小的連結。短連結更加容易使用,它在被訪問時擴展成原先的長連結,也就是說它會觸發一次簡單的跳轉。有些網路服務允許修改短連結對應的原連結,而這會成為被攻擊者利用的漏洞。因此在消息投遞時,連結明明指向正規網站,過一會兒便指向了惡意網站。
  • 使用帶有隨機功能的短連結。有些短連結生成工具帶有基於概率進行不同跳轉的功能,也就是說該短連結有一半機率指向谷歌,另一半機率指向釣魚網站。顯然,跳轉至正常網站的可能性會擾亂網路爬蟲(自動蒐集訊息的程式)。

連結何時開始指向惡意網站?

攻擊者通常假設潛在受害者們的作息時間是白天工作晚上睡覺。因此,延遲釣魚郵件往往在午夜之後發送,並在幾小時後接近天亮時變為惡意郵件。根據反釣魚攻擊監控數據顯示,早上7點至10點是高峰期,這段時間大量用戶正在邊喝咖啡邊查看信箱。

魚叉式釣魚也可能採用同樣手段,如果網路犯罪分子鎖定攻擊目標人物,他們可能會研究其日常作息規律,並基於其查看郵件的時間來選擇何時啟動惡意連結。

如何檢測延遲釣魚攻擊?

理想情況下,我們應該盡可能防止用戶收到釣魚郵件,因此重新掃描收件箱也許是最佳選擇。在某些情況下這個方法是可行的,比如公司使用的是微軟郵件交換伺服器。

在今年九月,卡巴斯基微軟郵件交換伺服器安全模塊已經支持通過原生API對郵件伺服器的整合,這將允許對已經在收件箱中的郵件進行再次掃描。如果設置合理,我們可以在確保檢測出延遲釣魚攻擊的同時避免在郵件高峰期給伺服器帶來額外負擔。

我們的安全解決方案還可以監控內部郵件(這些郵件不會經過郵件安全網關,因此過濾規則和掃描引擎對它們不起作用),也支持添加更加高級複雜的內容過濾規則。在商業郵件攻擊這種高危場景中,黑客擁有企業信箱帳號的訪問權限,因此,具有重新掃描收件箱和控制內部通信的能力顯得至關重要。

我們的安全解決方案卡巴斯基企業安全解決方案含有卡巴斯基微軟郵件交換伺服器安全模塊。

資料來源: https://www.kaspersky.com/blog/delayed-phishing-countermeasures/37153/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: