2024年第二季度邮件安全观察
根据ASRC(亚洲垃圾邮件研究中心)和寿内安公司的监测和观察,2024年第二季度,网络攻击的分工将越来越细致。从攻击趋势分析来看,可以将其明确分为两个阶段:初始入侵阶段和后续的横向或深度攻击阶段。初始入侵主要通过漏洞利用或凭证泄露进行。获取泄露凭证的一个重要方法是通过网络钓鱼邮件。本季度,我们需要特别警惕网络钓鱼邮件。年中,很多单位会进行社会工程演练,这会增加信息安全或IT部门的负担,所以要特别注意防护。此外,上一季度的主流二维码网络钓鱼邮件攻击在本季度仍在继续,未来很可能演变为常态化的攻击方式。
以下是本季度的特殊攻击示例介绍:
01
用于钓鱼邮件的必应服务
合法服务一直是网络钓鱼邮件的目标,因为网络钓鱼邮件中的超链接是他们最关键和最容易识别的部分。最近,我们发现Bing的服务被用来代替网络钓鱼邮件中的超链接。
通过必应的链接,受害者将首先被定向到一个恶意网站中继,然后重定向到实际的恶意页面。此恶意页面将直接显示受害者的电子邮件,并模仿Gmail的登录页面,主要目的是欺骗电子邮件登录账号和密码!更有趣的是,在第一次输入密码后,页面会更新一次,使受害者误以为输入不成功;第二次进入时,会直接重定向到Gmail的登录页面,这可能是为了提高找回密码的准确性。
02
很难区分真假的网络钓鱼邮件
一些网络钓鱼邮件会被修改为真实的通知邮件,甚至包括警告链接,以防止欺诈。整个邮件中的大部分超链接都指向真实的网站;但只有一个关键的超链接,将导致一个真正的网络钓鱼网站!这对受害者和扫描机制来说都有些欺骗性。
03
虚假侵权警告攻击邮件
本季度,我们还观察到带有假冒侵权警告的攻击电子邮件。这些电子邮件是精心制作的,侵权内容的证据似乎是确凿的,高度欺骗性的!但这些邮件来自Gmail,正式的商务通信或重要通知通常不会通过免费电子邮件发送。在收到这类邮件时,只要冷静判断,就能发现其中的异常。涉及金钱和法律等重大事件的电子邮件必须通过官方和合法渠道进行核实;千万不要因为一时的冲动而随意点击邮件中的联系方式或超链接,也不要贸然下载相关文件。
这封邮件主要是诱使受害者下载他们编写的“侵权证据文件”,但黑客不希望自动扫描机制介入并检查文件内容。因此,在正式下载文件之前,需要进行“人机验证”,验证成功后才能下载压缩文件。
在这个压缩文件中,有三个文件,其中最重要的是可执行PE文件,其图标已被替换为PDF图标,以引诱受害者打开PDF文件DLL文件是Remcos的后门;和另一个。解压缩后的Info文件会变得非常大,这可能会干扰扫描和检查机制。Remcos的常见部署方法是将其嵌入伪装成pdf的恶意ZIP文件中,声称包含发票或订单;其后门功能包括规避反病毒检查、权限升级、数据收集等。
后记
一项调查显示,发送探索性的社交工程练习电子邮件可能会让员工感到紧张和压力,但这可能对识别真正的网络钓鱼或攻击电子邮件没有太大帮助;相反,通过实例进行教育培训,可以更好地增强员工的安全意识和识别能力!网络钓鱼或网络钓鱼邮件都是基于社会工程的攻击方式,所以这种攻击很容易利用受害者的好奇、恐惧、时间压力或其他心理压力,导致受害者疏忽。
面对千变万化的网络钓鱼邮件,仅凭外观很难区分真假邮件!但网络钓鱼或诈骗电子邮件的通常方法是希望受害者确认或执行某种操作
当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »