楔子:KISS,keep it simple, stupid。
KISS,keep it simple, stupid。据说首次出现于1960年的美军。意指为了保持有效性,系统设计应尽量简单。后来也有人演绎并写作“”Keep it simple, silly”,“keep it short and simple” ,“keep it simple and straightforward”,“keep it small and simple” and “keep it stupid simple”。
在信息安全领域的所有威胁里,没有哪个方法比“钓鱼”更能体现这句话了,对于安全人员来讲,“钓鱼”攻击虽然简单,但它就是个噩梦,更不用说是对非安全人员的其他工作人员了。
据报道,近日信息安全界又发生了一起了“钓鱼”事件,涉案金额逾百万人民币,所幸款项最后被执法机构追回,企业和相应工作人员的损失才降低到最小。然而查阅历史资料,近年来因“钓鱼”邮件损失等值过亿人民币的事件也有多起,例如:2016年德国莱尼集团北罗马尼亚分公司遭受“钓鱼”攻击损失约4000万欧元,且造成股票价格下跌5%~7%;2015年底-2016年初,奥地利飞机零部件制造商(FACC)因此损失约5000万欧元。
什么是“钓鱼”攻击?
“钓鱼”(Phishing)攻击是通过伪装成电子通信中值得信赖的实体来获取敏感信息(如用户名,密码和信用卡详细信息)的欺诈性尝试。由于使用诱饵试图捕捉受害者的相似性,这个词本身就是作为捕鱼同音词而创建的新词。
据说“钓鱼”一词是由Khan C Smith在上世纪90年代中期创造的,Khan C Smith是一位知名的垃圾邮件发送者和黑客。在首次提到该词时,他还提到了AOHell工具,和试图窃取美国在线用户的密码或财务细节的功能。
“钓鱼”的目标
虽然近期大量的案例显示“钓鱼”攻击往往是针对企业高管、财务人员,促成他们判断失误,从而向攻击者转出资金。然而“钓鱼”攻击不仅仅体现在财务转方面,“钓鱼”攻击还可能是入侵的先遣部队,通过横向移动,完成盗取资料、破坏等动作,这类攻击无需针对特定个人进行定制邮件,而是采用公司内所有员工可能都会关注的内容,例如:仿冒公司常用软件供应商的升级通知。近期这类攻击最常见形式之一就是通过“钓鱼”邮件传播勒索软件,然后迫使受害者向攻击者转账(往往是难以追踪的电子货币)而实现其目的。当然,也有部分攻击者的利益是通过非经济形式实现的,例如:破坏竞争对手的信息基础设施、通过信息化设施破坏竞争对手的基础设施等形式。
“鱼叉”攻击、“钓鲸”攻击和“克隆钓鱼”攻击
和“钓鱼”攻击类似的还有“鱼叉”攻击(Spear Phishing)、“钓鲸”(Whaling)攻击和“克隆钓鱼”(Clone Phishing)。
“鱼叉”攻击:针对特定个人或公司的网络钓鱼尝试被称为鱼叉式网络钓鱼。 与大量网络钓鱼相比,鱼叉式网络钓鱼攻击者经常收集和使用有关其目标的个人信息,以提高其成功的可能性。
“钓鲸”攻击:“钓鲸”是针对高级管理人员或重要人员的攻击而创造的。在这种情形下,邮件的内容针对高层管理人员和个人在公司中的角色而精心设计的。
“克隆钓鱼”攻击:“克隆钓鱼”是另一种网络“钓鱼”攻击形式,其原始邮件中包含的附件或链接合法。它利用先前发送的电子邮件,将其内容和收件人地址用于创建几乎相同或克隆的邮件,新的邮件中的附件或链接被替换为恶意版本,然后从攻击者的邮箱地址发送,看起来似乎是来自原始发件人。
“钓鱼”与社会工程
实施“钓鱼”攻击前,攻击者需要进行大量的社工工作,例如:调查被攻击者的信息,包括职务、通讯方式等,而这些往往通过互联网搜索即可获得,也可能是通过收集“垃圾箱”所得到。然后针对攻击目标有针对性的制定邮件主题和内容,例如:仿冒的业务合作邮件、公司内部的重要通知、监管机构/金融机构的商务邮件等。这些邮件内容一般都具有高度的迷惑性,吸引受害者去打开。
“钓鱼”与渗透测试
企业为了安全需要,经常会采用在内部发送“钓鱼”邮件来测试员工的安全意识,其中作为信息安全人员的渗透测试工具的Kali Linux中就可以利用metasploit框架实施“钓鱼”测试。而在互联网上还存在着“钓鱼”即服务的网站。
这些工具的公开化,使得信息安全形势更加严峻。
“钓鱼”的防护
针对“钓鱼”攻击的防范方法需要综合运用,以下是常见的几种方式。
安全意识教育:由于“钓鱼”邮件是针对工作人员发起的,因此意识教育是防范它的第一道关口。通过对工作人员的培训和教育,让他们能够识别“钓鱼”攻击,并及时报告给相应工作人员,从而进行更广泛的防护。在进行意识教育的活动中,安全人员可以结合文字、音频、视频、flash等多种方式。部分企业还可以部署“钓鱼”邮件模拟平台,进行内部测试,同时也是对安全意识教育成果的检验。
邮件网关:很多企业配备了邮件网关,这些邮件网关通常配合邮件地址列表服务商提供的“黑”名单和“白”名单来使用,使得通向恶意地址的邮件能够被识别和拦截。有效的管理一个“灰”名单,往往是企业在“钓鱼“防护能力的体现,甚至是安全能力的体现。管理自己的“灰”名单通常需要用到机器学习的能力。
反恶意软件系统:部分钓鱼软件中采用了恶意软件,因此专为邮件系统配备的反恶意软件模块可以识别出其中的恶意软件,并进行隔离、拦截和告警。
威胁情报:威胁情报服务商通常会提供“钓鱼”相关的信息,包括“钓鱼”网站的IP地址、域名,以及实时的“钓鱼”攻击者所用的IP、域名的活跃度,“钓鱼”邮件利用的恶意软件,“钓鱼”邮件的标题和内容等。由于很多“钓鱼”邮件的标题和内容也是经过精心设计,伪装成业务邮件的,因此在获得了威胁情报的前提下,还需要企业配置模糊识别恶意软件的能力,而模糊识别能力的基础是机器学习。这通常是集成在邮件防护系统中的。
其他:针对“钓鱼”的防护,还可以利用DNS管理,可能还会需要取证、快速响应等能力,以及和金融机构、监管机构、司法机构的良好沟通渠道。
另外,重点企业建立起自己的邮件地址清单是非常有必要的,已经有证据表明下述现象的存在:有针对性的采用DDoS攻击“黑”邮件地址服务商,迫使“黑”邮件地址服务下线的同时,然后对攻击目标发起“钓鱼”攻击。
希望本文能为大家认识“钓鱼”攻击的概貌提供信息。“钓鱼”,很KISS!但带来了无限烦恼……
PS:据预测,2019年高级网络钓鱼威胁将继续增长,例如BEC、“鱼叉”攻击、勒索软件和品牌假冒攻击等。