近些年,随着互联网技术的高速发展,公司信息化建设逐步推进,电子邮件做为商务沟通、信息传播的载体,有着发送速度快、收发便捷、信息多样化、成本低廉等优势特点,因而在公司发展中充当着愈来愈重要的角色。毋庸置疑电子邮件的安全性也逐步受到重点关注。然而,网络中的钓鱼邮件仍是防不胜防,新式骗局层出不穷,蛊惑人心。如果中招,给公司造成重大损失的同时,也让公司的诚信品牌形象受到非常大的影响。通过了解邮件钓鱼的攻击方式、思路、方法,尝试通过钓鱼邮件模拟、测试是学习邮件钓鱼、树立员工钓鱼邮件安全意识的一种有效方式。本文通过对钓鱼方式方法、思路的介绍普及邮件钓鱼知识,同时在红蓝对抗中开拓钓鱼邮件这种高效打点的攻击方式,加强员工网络钓鱼的自我安全防范意识。
什么是邮件钓鱼?
钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人链接到伪造钓鱼页面,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。
常见的钓鱼邮件攻击方式一种是直接通过二维码、内嵌链接、直接索要敏感信息等方式钓运维人员、内部人员相关系统管理账号密码,另一种通过携带exe、excel、word等附件(附件中要么包含恶意代码、宏代码,要么是远控exe)的方式,诱导运维人员、内部员工点击相关的附件,以达到控制运维人员或者内部员工电脑的权限。
邮件钓鱼大致分为以下六类:
1、仿冒邮件:通过自己构建的发件服务器,可以实现隐藏真实发件人信息,伪装成知名企业内部邮箱进行对外发件。当遇到这种“高仿”邮件,收件人不经确认很容易掉入陷阱。
2、链接钓鱼邮件:“你收到一封系统升级通知,点开链接立刻升级”,这类钓鱼邮件也很常见,攻击者在邮件内直接嵌入钓鱼链接,点开链接便是以假乱真的钓鱼网站,这类网站通常会要求用户输入账户信息之类以获取用户敏感信息;另一种链接指向的网页暗藏木马程序,用户点开的同时就中招了。
3、附件钓鱼邮件:这类钓鱼邮件利用了人的好奇心里,习惯性的点开查看附件内容。附件以Exe/Scr后缀的文件风险程度最高,一般是病毒执行程序。其他常见的还有Html网页附件、Doc附件、Excel附件、PDF附件等。
4、鱼叉式钓鱼邮件:鱼叉式钓鱼邮件是一种只针对特定目标进行攻击的网络钓鱼,鱼叉式网络钓鱼锁定对象并非一般个人,而是特定公司、组织成员,受窃信息也是高度敏感、有针对性的资料。
5、BEC钓鱼邮件:BEC诈骗又被叫商务邮件诈骗,攻击者通过将邮件发件人伪装成领导、同事、商业伙伴,以此骗取商业信息、钱财、或者获取其他重要资料。
6、二维码钓鱼邮件:当用户处于内网,无法向外网发送信息时,骗子就会引诱收件人扫描二维码钓鱼邮件进行攻击。
邮件钓鱼种类丰富,大多利用了人的从众、好奇、爱贪小便宜的心理。观察近年来各大APT组织的攻击过程,钓鱼攻击一直是APT高级持续威胁的主要打点手段,网络上公开的APT攻击案例中超过80%都使用钓鱼攻击。而邮件钓鱼则是一个绝佳的打开内网通道的入口点,邮件可以携带文字、图片、网址、附件等多种信息媒介,结合社工手段可以对未经训练的人群进行“降维打击”,而且钓鱼邮件还可以做到很强的针对性,对于运维部门、企业高管等较高价值目标还可以做到精准打击。
红蓝对抗中的邮件钓鱼攻击
如今红蓝对抗越加普遍及重要,各单位都相继组建红蓝队伍进行攻防演练。随之而来防守方部署大量安全设备,如FW、WAF、IDS、IPS等,想要从Web端深入到内网已经困难重重。因而在日渐增多的防护设备面前,钓鱼攻击已经成为对抗中必不可少且非常有效的攻击手法(近期也见到实际攻击中针对HR的邮件钓鱼攻击),因为人心永远是最大的弱点。一旦有人中招,攻击队就直接能进入目标办公网,这也是钓鱼的魅力之一。
然而在红蓝攻防演练中,攻击队常用的钓鱼手段如果不依赖漏洞的情况下,让防守方信任你的文件点击并启用,就需要钓鱼话术来支撑。以下列举几个最常用钓鱼话术和手段:
1、SRC假漏洞:当目标企业存在类似SRC漏洞奖励计划时,可以去提交一个假漏洞,并把恶意文件附在其中。这种情况下,安全运营人员明知道可能有恶意木马的风险,也不得不去冒险,因为如果这是一个真的大漏洞,不及时处理可能会造成更严重的后果。
2、合作:合作是一个公司发展必不可少的,可以在网站下方找一些合作邮箱,以合作的名义去进行合作邮件钓鱼。
3、可信站点附件中转:进行钓鱼攻击时,会常常把木马直接放在邮件正文中,但是对方邮件网关可能有杀软沙箱,会拦截带有恶意文件的邮箱,这时候可以尝试对文件进行加密处理。除了加密处理外,还可以使用可信站点作为中转,比如准备钓鱼的员工是{domain}.com公司下的,那如果把附件传到*.{domain}.com域下,当对方看到下载地址是{domain}.com域的话,下载点击的成功率就会变大。
4、活动公告:这种话术更加直接,比如:①HW安全演练期间请升级系统 ②公司福利活动,请员工登录下载等等。
钓鱼手段层出不穷,了解钓鱼手段是在攻防演习大环境下必不可少的技能之一。通过简要的对于红蓝对抗中邮件钓鱼话术的阐述,希望可以给无论是安全从业者还是对安全感兴趣的人一些启示。人永远是最大的弱点,未知攻,焉知防,以攻促防希望未来能给安全建设带来帮助。
如何防御钓鱼邮件?
在对抗邮件钓鱼的方法上有技术性的,也有非技术性的。技术性对策比如正确配置邮件客户端、使用邮件网关并加强策略,对钓鱼邮件进行过滤等。非技术性对策则可通过定期进行安全意识宣贯,提高全体人员的安全意识,通过真实的钓鱼攻击对员工进行安全意识提升。
在如今互联网时代下,每天大量信息在网上传播,信息安全的价值日益凸显。钓鱼邮件攻击对企业造成的危害不言而喻,想要从根本上杜绝不是一朝一夕的事情。对于企业而言,要不断提高钓鱼邮件的防护意识,构建安全稳定的企业邮箱防御体系,提高每个人钓鱼邮件防护意识,由点及面方能让企业安全更加牢固。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。
