釣魚郵件中招?你不是唯一的受害者
前言
以下故事,純屬虛構(gòu),如有雷同,實屬巧合。
郵件釣魚的測試最終結(jié)果出來了,所有部門無一幸免,都有員工貢獻了數(shù)據(jù)。領(lǐng)導(dǎo)在企業(yè)微信里強調(diào),讓大家重視起來,不能在一個地方摔倒兩次。
和我鄰座的小楊,至今在懊悔。怎么那天就鬼使神差的點擊了郵件的鏈接,并且傻乎乎的填寫了登錄賬號和密碼。他苦笑著:”這IT這釣魚郵件偽裝的太像了。嘖嘖,年會抽獎,還尋思今年提前抽個大獎呢。“
我內(nèi)心是竊喜的。倒不是因為我僥幸躲過一劫,而是我在個人安全等級考試涉險過關(guān),有底氣在心里面默默提高一檔。上當?shù)耐拢馨脨溃P(guān)鍵時候掉鏈子,太大意了。有個地縫恨不得讓始作俑者鉆進去。大家議論,策劃者老周,看他平時笑呵呵很慈祥,其實滿肚子墨水。為企業(yè)內(nèi)部安全和員工安全意識提升出謀劃策,貢獻良多。
有個小插曲,差點打亂測試節(jié)奏。有同事在企微里發(fā)了郵件的截圖,懷疑是一封釣魚郵件。同事看到了,如果稍加留意,可能會避免上當。當然,對于策劃者來說,這就尷尬了。確認是釣魚郵件,測試員工安全意識的結(jié)果會有折扣;不確認,是工作失職。最后,他們決定打個馬虎眼,說要調(diào)研一下,先搪塞一下。好在這條消息迅速淹沒了,策劃者虛驚一場。
領(lǐng)導(dǎo)指示大家,最近要”提高警惕,謹言慎點“,提高保密意識,切勿泄漏商業(yè)機密,郵件中的鏈接,點擊之前需三思。防火防盜防釣魚。
釣魚郵件的現(xiàn)狀
釣魚郵件善于利用人們的心理。社會熱點事件,節(jié)假日,雙十一血拼,這些時間點,是釣魚郵件傳播的高峰期。
郵件的來往還是企業(yè)間溝通的主要方式。雖然微信早已普及,但正式的函件合同等,還是以郵件為主。有些金融機構(gòu),只有郵件是和外界溝通的渠道,也是安全風(fēng)險的主要來源。
發(fā)送釣魚郵件,是一種普遍的社會工程學(xué)攻擊。2017年Verizon發(fā)布的數(shù)據(jù)泄漏調(diào)查報告中,有高達66%的數(shù)據(jù)泄漏事件和釣魚郵件相關(guān)。2019年,Proofpoint公司發(fā)布的釣魚郵件報告顯示,83%的信息安全受訪者遇到過釣魚郵件。
防御釣魚郵件的道路上,道阻且長。人的安全意識,怎么強調(diào)都不為過。然而強大的思維慣性,行為習(xí)慣等很難更改。
釣魚郵件的攻擊類型
在攻擊者眼里,釣魚郵件,是最為有效和簡單易行的攻擊方式。有兩種目的的釣魚郵件。
其一,廣撒網(wǎng)型。發(fā)送大量的釣魚郵件,愿者上鉤。攻擊者用這種方式,獲取銀行賬號和密碼,社交賬號和密碼,然后在利用這些機密再去實施后續(xù)的攻擊。比如,攻擊者構(gòu)造一個釣魚網(wǎng)站,和正式的網(wǎng)站一樣。釣魚郵件里面,帶上這個網(wǎng)址URL,誘導(dǎo)點擊。知名的購物網(wǎng)站,社交網(wǎng)站,銀行網(wǎng)站,常常是假冒網(wǎng)站的目標。
圖:假冒銀行的釣魚網(wǎng)站
圖:假冒蘋果的釣魚網(wǎng)站
此外,攻擊者還利用釣魚郵件,散播惡意軟件或勒索軟件,安裝木馬。比如,WannaCry這個勒索軟件,最為開始的傳播方式,就是利用了釣魚郵件,令受害者點擊下載,再通過局域網(wǎng)掃描,發(fā)現(xiàn)存在漏洞的主機感染傳播,最終,導(dǎo)致全球范圍內(nèi)大規(guī)模感染。
其二,魚叉攻擊。這是高級持續(xù)性威脅APT的一種滲透方式。攻擊者針對具體的目標,有針對性的構(gòu)造郵件,發(fā)送的目標也是挑選的。郵件或者帶有附件,或者是惡意URL,受害者打開附件或者點擊鏈接后,植入木馬后被控制。通常是以長期的潛伏,竊取機密情報為目的。
釣魚郵件的防范實踐
釣魚郵件的防范,需要技術(shù)手段和提高員工識別能力上兩手抓,兩手都要硬。
技術(shù)措施:
- 郵件來源認證措施
- 借助安全信譽過濾郵件
- 郵件沙箱分析過濾未知惡意附件和URL
- 應(yīng)用訪問實現(xiàn)多因素認證
提高員工鑒別能力:
- 持續(xù)的安全意識培訓(xùn)
- 郵件釣魚測試
最后的想法
時鐘撥回到37年前1982年, RFC821定義了SMTP協(xié)議,即簡單郵件協(xié)議的規(guī)范。盡管后續(xù)增加了一些補充規(guī)范,不過是修修補補,這是郵件安全老大難的根本原因。人們的溝通,只要還使用這個協(xié)議,釣魚郵件的社會工程就會一直存在。
技術(shù)上的檢測和隔離,郵件來源認證能夠過濾掉大部分釣魚郵件。漏網(wǎng)之魚,還需要郵件接收者警惕。
回到最初的故事,加入您在釣魚郵件測試中招,不必感到羞愧。相反,吃一塹,長一智,后面若是有真正釣魚郵件,難逃您的慧眼。
【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】
