通過電子郵件營銷服務進行網路釣魚攻擊

網路犯罪分子們為了繞過反釣魚技術,有時會藉助合法的電子郵件服務供應商,但是這些危險郵件也並非不可阻擋。

網路詐騙犯們近年來使用了各種手段來繞過反釣魚技術。有一種投遞釣魚連結成功率很高的方法就是使用電子郵件營銷服務,即通過電子郵件服務供應商(ESP,專門投遞電子郵件期刊的公司)來發送郵件。根據我們軟體獲取的數據顯示,這種不法手段目前勢頭越來越猛。

為何基於ESP的釣魚攻擊可以成功

重視郵件威脅的企業往往會使用殺毒、反釣魚和反垃圾郵件引擎在郵件抵達用戶收件箱之前對其進行徹底掃描。安全引擎不僅會掃描郵件內容、標題、連結,還會檢查郵件發送者以及任何被連結網址的聲譽,這些因素綜合起來決定了郵件的風險。比如,安全算法會對來自於未知發送者的可疑群發郵件亮紅燈。

然而攻擊者們已經找到了應對方法:以可信任的實體發送郵件。電子郵件營銷服務提供端到端的電子期刊管理功能,非常適合這個角色,這些可信任的實體都是知名的服務供應商,因此很多安全軟體的廠商在安全策略中默認允許它們的IP地址,有些甚至直接跳過對這些供應商郵件的檢查。

ESP們是如何被利用的

這裡的主要攻擊向量很明顯:將釣魚郵件偽裝成合法郵件。實質上,網路不法分子通過購買最便宜的訂購服務從而變成了目標服務供應商的客戶。

不過攻擊者們還有個比較特別的方案:用ESP來管理URL。在這種方法中,攻擊者在自己的伺服器中發送電子期刊,比如網路不法分子可以創建一個含有釣魚URL的測試版電子期刊,然後發送給自己進行預覽。ESP會為URL創建一個代理URL,然後攻擊者在真正的釣魚電子期刊中使用這個代理URL。他們的另一個選擇是創建一個看似郵件模板的釣魚網站,然後創建一個直接指向它的連結,不過這種情況相對前者而言沒有那麼常見。

無論哪種方法,新的代理URL都具有良好的聲譽,因此不會被阻攔;而且ESP並不處理郵件的具體發送,也不會發現任何不對勁從而阻攔它的”客戶”——至少在他們開始收到各種各樣來自用戶的抱怨之前是這樣,有時這種方法甚至被用於魚叉式釣魚攻擊。

ESP廠商是怎麼想的

毫無疑問ESP們並不會以淪為網路不法分子的工具為榮,大多數ESP擁有自己的安全技術並掃描郵件內容以及通過他們伺服器的連結,如果用戶遭到經由他們網站的釣魚攻擊,幾乎所有的ESP都會為用戶提供解決方案。

因此攻擊者也會試圖逃避ESP的檢測,比如使用代理供應商來延遲釣魚連結生效時間:連結在剛剛創建時看上去是合法的,只有在後來才會指向惡意網站。

我們應該如何應對

在很多情況下,群發郵件的收件人是那些在網路上公開過自己信箱地址的員工,而且即便是我們中最警覺的人,也可能無意中點擊不該點的連結。為了保護企業員工遠離來自電子郵件營銷服務的潛在釣魚攻擊,我們提出以下建議:

  • 為員工提供安全教育,告誡他們不要打開標有”群發郵件”的電子郵件,除非是他們自己主動訂閱的服務。
  • 使用那些採用啟發式算法徹底掃描郵件的強而有力的安全解決方案

資料來源: https://www.kaspersky.com/blog/phishing-via-esp/37467/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: