網絡安全專家面臨“改變遊戲規則”的網絡釣魚計劃
最近的一次網絡攻擊被稱為“改變遊戲規則”-顯然您每天都不會看到這樣的話。但是,是什麼使特定的網絡釣魚攻擊如此令人印象深刻?
安全研究員Craig Hays在一篇Medium文章中詳細介紹了攻擊並進行了分析。這一切都始於安全公司從客戶那裡收到的通常的網絡釣魚攻擊警報。但是,隨著早期調查的進行,在第一次報告發布後的幾分鐘,隨著來自同一組織的越來越多的電子郵件帳戶遭到入侵,更多的紅色指示燈開始閃爍。
被黑的電子郵件帳戶發送了異常大量的外發郵件,這使警告機制陷於癱瘓。來自世界各地的不尋常地點都在訪問它們,並且比往常發送更多的電子郵件。但是,安全團隊遇到的問題是,沒有明確表明初始攻擊媒介的跡象-沒有常見的警告信號表明成功進行了網上誘騙嘗試-沒有來自未知地址的傳入郵件,什麼也沒有。
熟識的危險
事實證明,網絡釣魚電子郵件確實並非來自可疑或未知地址。它們被作為對真實的合法電子郵件的回复消息發送。一個簡單的事實,即惡意網絡釣魚鏈接隱藏在從看似已知來源收到的郵件中。
攻擊背後的機制涉及一個複雜的機器人。一旦受攻擊的網絡上的電子郵件的憑據被盜,該漫遊器就會收到登錄信息,登錄到受感染的帳戶,並開始篩選過去幾天內收到的傳入郵件。以這種方式發現的每個唯一的電子郵件鏈都會收到該殭屍程序的回复,其中包含一條消息,其中包含指向犯罪分子建立的網絡釣魚門戶的鏈接。值得注意的是,騙子們提出了足夠通用的措辭,以至於單擊所附的偽造文件永遠不會顯得太陌生或不合適。
這意味著漫遊器發送的網絡釣魚消息保留了該地址,會話鏈的原始主題行以及所有過去的通信,使其表面上令人難以置信地令人信服和可靠,遠遠超過了未知地址發送的任何網絡釣魚嘗試。即使沒有經驗的用戶也可以立即觸發警告燈。
蠕蟲狀網絡釣魚惡意軟件
該機器人的行為就像蠕蟲一樣,通過掃描收件箱並發送其可信的網絡釣魚誘餌在公司電子郵件網絡中傳播。這種傳播方式使威脅特別難以應對。最終,在惡意URL中發現了一種模式,並將其添加到自動過濾器中,該過濾器可以真正遏制並阻止蠕蟲狀網絡釣魚機器人的傳播。
該報告強調的另一個重要事實是,該機器人過於渴望自己的利益。如果沒有異常大量的外發郵件觸發警報,則該漫遊器可能會在很長一段時間內不被注意,並造成更大的破壞。
從此事件中得出的最重要的結論是,應在可能的情況下使用多因素身份驗證,並且在無法選擇的情況下也應盡快使它可用。