如今，大多數企業都投資了某種電子郵件安全解決方案。然而，即使是最先進的工具，在現代網絡釣魚攻擊面前也存在顯著的局限性。

數據表明，盡管在安全產品和培訓上投入巨大，網絡釣魚仍然是一個嚴重的問題（甚至比以前更嚴重！）。根據 Verizon 的觀察，2024 年，涉及人為因素的基于身份的攻擊手段（如網絡釣魚和憑據竊取）占初始訪問的 80%，而根據 IDSA 的數據，69% 的企業在 2024 年經歷了網絡釣魚事件。

IDSA 2024 年數字身份報告 來源：IDSA

那么，為什么網絡釣魚攻擊對攻擊者仍然如此有效？

現代網絡釣魚攻擊繞過了現有防御手段

首先，我們來看看現狀：企業在阻止憑據釣魚時通常依賴哪些控制措施和功能？

如果你使用的是電子郵件安全解決方案，你在檢測惡意釣魚頁面時依賴以下核心功能：

• 已知惡意域名/IP 黑名單： 通過威脅情報（TI）阻止用戶訪問已知惡意或未經批準的域名/URL，并阻止來自已知惡意 IP 的流量。
• 惡意網頁檢測： 通過將網頁加載到沙箱中來檢測惡意元素。

這些功能也適用于其他解決方案，如基于網絡的內容過濾（例如 Google Safe Browsing）、云訪問安全代理（CASB）、安全訪問服務邊緣（SASE）、安全 Web 網關（SWG）等。

然而，攻擊者現在正在使用特定的戰術、技術、程序（TTPs）和工具來繞過這些解決方案。

讓我們來看看這些控制措施在哪些方面失效。

攻擊者使用新工具和技術進行創新

如今，絕大多數網絡釣魚攻擊都是通過“中間人攻擊”（AitM）釣魚工具包執行的，這些工具包也被稱為“MFA 繞過”工具包。

這些工具包使用專用工具充當目標用戶與應用程序合法登錄門戶之間的代理。這使得目標用戶可以使用他們使用的合法服務成功登錄，甚至繼續與之交互。

由于這是真實應用的代理，頁面將與用戶的期望完全一致，因為他們正在登錄合法站點——只是通過攻擊者的設備繞了道。

然而，因為攻擊者位于連接的中間，他們能夠觀察所有交互，攔截諸如憑據、MFA 代碼和會話令牌等認證材料，從而控制認證會話并接管用戶賬戶。

Evilginx 被用于接管 M365 賬戶 來源：Push Security

MFA 曾經被廣泛認為是網絡釣魚的“銀彈”（我們都記得微軟的統計數據“MFA 阻止了超過 99% 的基于身份的攻擊”），但已不再如此。

這些工具包不僅能夠有效繞過 MFA 等其他反釣魚控制措施，攻擊者還專門設計它們來規避常見的檢測工具和技術。

使用 Push Security 保護和防御身份攻擊面

預約演示，了解 Push 基于瀏覽器的身份安全平臺如何防止 MFA 繞過釣魚、憑據填充、密碼噴射和會話劫持等賬戶接管攻擊。

在員工瀏覽器中查找、修復和防御工作身份。

已知惡意黑名單無法跟上節奏

已知惡意黑名單的根本局限性在于它們專注于攻擊者易于更改的指標，進而導致基于這些指標的檢測容易被繞過。

攻擊者非常擅長偽裝和輪換這些元素。在現代網絡釣魚攻擊中，每個目標都可以收到獨特的電子郵件和鏈接。甚至僅使用 URL 縮短器就可以繞過這種檢測。這相當于惡意軟件的哈希值——很容易更改，因此不是檢測的最佳依賴點。這類檢測位于“痛苦金字塔”的底部。

你可以查看用戶連接的 IP 地址，但攻擊者現在很容易在他們的云托管服務器上添加新的 IP。如果一個域名被標記為已知惡意，攻擊者只需注冊一個新域名，或者入侵一個已經受信任的域名上的 WordPress 服務器。

由于攻擊者預先計劃他們的域名最終會被拉入黑名單，這些情況正大規模發生。攻擊者非常愿意為每個新域名支付 10-20 美元，因為這與潛在的犯罪收益相比微不足道。

例如，最近包括 Tycoon、Nakedpages、Evilginx 在內的“中間人攻擊”釣魚工具包被發現輪換它們解析的 URL（來自不斷刷新的 URL 池），偽裝 HTTP Referer 頭以隱藏可疑的重定向，并在非目標受害者嘗試訪問頁面時重定向到良性（合法）域名。

在許多情況下，攻擊者還利用合法的 SaaS 服務進行他們的活動（有時甚至使用電子郵件保護服務！），這進一步增加了區分真實鏈接和有害鏈接的難度。

但這里還有一個更大的問題——對于防御者來說，要知道某個 URL、IP 或域名是惡意的，必須先有人報告。然而，事情何時會被報告呢？通常是在被用于攻擊之后——因此，不幸的是，總會有人受到傷害。

惡意網頁檢測正在失效

攻擊者使用各種技巧來防止安全工具和機器人訪問他們的釣魚頁面進行分析。

使用合法服務來托管他們的域名越來越普遍，例如使用 Cloudflare Workers 作為初始網關，并使用 Cloudflare Turnstile 來阻止安全機器人訪問頁面。

即使你能繞過 Turnstile，你還需要提供正確的 URL 參數和標頭，并執行 JavaScript，才能加載惡意頁面。這意味著，即使防御者知道域名，僅通過向該域名發出簡單的 HTTP(S) 請求也無法發現惡意行為。

如果這些還不夠，他們還對視覺和 DOM 元素進行了混淆，以防止基于簽名的檢測——因此，即使你能訪問頁面，你的檢測也很有可能不會觸發。

通過更改 DOM 結構，攻擊者加載功能相同但在底層完全不同的頁面。

比較合法頁面的 DOM 結構與攻擊者克隆的頁面 來源：Push Security

他們還隨機化頁面標題、動態解碼文本、更改圖像元素的大小和名稱、使用不同的圖標、模糊背景、替換標志等……這一切都是為了擊敗常見的檢測手段。

左圖是一個偽造的登錄頁面——看起來相當可信，對吧？來源：Push Security

面對這些手段，防御者難以跟上節奏也就不足為奇了。

構建更好的網絡釣魚防護措施

歷史上有，行業將電子郵件安全解決方案和反釣魚視為同一事物。但很明顯，基于電子郵件的釣魚防護在面對現代憑據釣魚攻擊（目前最常見和最有影響力的釣魚變體）時已經力不從心。

這并不是說基于電子郵件的解決方案毫無價值——遠非如此。但僅依賴電子郵件掃描器來檢測釣魚頁面作為單一的防御線已經不夠了。

以瀏覽器為基礎的網絡釣魚防護是否可行？

雖然我們習慣于將網絡釣魚視為通過電子郵件發生的事情，但實際上，大多數操作都發生在瀏覽器中，無論初始的傳播渠道是什么。

盡管將釣魚鏈接的傳播視為攻擊本身很誘人，但如果受害者沒有在惡意頁面上輸入他們的真實憑據，釣魚就無法成功。

Push Security 提供了一個基于瀏覽器的身份安全解決方案，能在釣魚攻擊發生的地方——員工瀏覽器中阻止攻擊。

在瀏覽器中檢測和攔截釣魚攻擊有許多優勢。你可以看到用戶所看到的活動網頁，這意味著你可以更好地發現頁面上運行的惡意元素。這也意味著你可以在檢測到惡意元素時實施實時控制。

在有無 Push 的情況下，網絡釣魚攻擊的檢測效果有著明顯差異。

在此例中，攻擊者入侵了一個 WordPress 博客以獲取一個信譽良好的域名，然后在網頁上運行網絡釣魚工具包。他們向你的一個員工發送了包含該鏈接的電子郵件。你的 SWG 或電子郵件掃描解決方案在沙箱中檢查了它，但釣魚工具包檢測到了這一點并重定向到一個良性站點，從而通過了檢查。

你的用戶收到帶有鏈接的電子郵件，現在可以自由地與釣魚頁面互動。他們在頁面上輸入了他們的憑據和 MFA 代碼，然后攻擊者竊取了認證會話并接管了用戶賬戶。

但在有 Push 的情況下，Push 瀏覽器擴展會檢查用戶瀏覽器中運行的網頁。Push 觀察到該網頁是一個登錄頁面，用戶正在其中輸入密碼，檢測到：

• 用戶輸入的密碼與密碼所關聯的域名不匹配。僅基于這一檢測，用戶會自動被重定向到一個阻止頁面。
• 渲染的 Web 應用程序使用的是克隆應用的登錄頁面。
• 網頁上正在運行一個網絡釣魚工具包。

因此，用戶被阻止與釣魚站點互動，無法繼續操作。

這些都是攻擊者難以（或不可能）躲避的檢測示例——如果受害者無法在你的釣魚站點上輸入他們的憑據，你就無法成功釣魚！

如果我們再次查看“痛苦金字塔”，我們可以看到，這些檢測對于攻擊者來說更難繞過，能夠比靜態的、基于威脅情報的黑名單更早地檢測和攔截賬戶接管——在任何人受到傷害之前阻止攻擊。

將“痛苦金字塔”應用于基于身份的攻擊 來源：Push Security

親自測試

你可以免費試用我們的一些反釣魚控制措施。點擊“登錄”按鈕注冊一個免費賬戶即可開始。

使用我們的演示網站測試防釣魚功能 來源：Push Security

我們不只阻止網絡釣魚攻擊

不僅如此，Push 還提供了針對憑據填充、密碼噴射和使用被盜會話令牌進行的會話劫持等技術的全面身份攻擊檢測和響應能力。你還可以使用 Push 查找和修復員工使用的每個應用程序中的身份漏洞，如：幽靈登錄、SSO 覆蓋缺口、MFA 缺口、弱密碼、泄露和重復使用的密碼、高風險的 OAuth 集成等。

本文由 Push Security 贊助撰寫。