Websense发布最新钓鱼式攻击报告

黑客在去年对美国橡树岭国家实验室及今年十月初对美国白宫的两轮攻击中均使用了钓鱼式攻击,让政府部门鸣起警钟。同时,商业也成为了钓鱼式攻击的主要受害者,黑客们不断地通过攻击窃取客户的源代码、知识产权及财务信息,成为企业正常发展的羁绊之一,而对于IT管理人员来说,这更是萦绕在心头的沉重阴影。钓鱼式攻击现已成为IT业界最为关心的话题之一。

Websense作为全球领先的统一Web、数据和电子邮件内容安全解决方案提供商,其安全实验室的安全专家一直通过ThreatSeeker Network拦截并分析各类钓鱼式攻击,并于十月发布了关于钓鱼式网络攻击的最新报告,报告包含如下要点:

钓鱼式攻击往往隐藏在垃圾邮件中

垃圾邮件常被作为许多网络攻击的先头部队,攻击者往往发出数目惊人的垃圾邮件,以便在数字证书到期或被攻击者实施必要的防护前渗透到目标区。Websense的报告显示:92%的垃圾邮件都附带URL链接,而在所有的垃圾邮件中,只有约1.62%的邮件能引起钓鱼攻击。虽然这个比例看起来不大,但对于每小时有超过25万封垃圾邮件被发送出去的基数而言,影响程度可想而知。相对含毒邮件在垃圾邮件中仅占约0.4%的比重,钓鱼攻击类垃圾电邮的渗透力更为可观。

这些用于钓鱼攻击的邮件所附带的链接会将用户重定向到一些虚假的恶意站点,黑客会在受害者加载页面的同时窃取其登录信息等敏感数据。Websense的研究表明,大多数的恶意站点被架设在美国。这些托管着钓鱼式攻击所用的恶意URL的服务器基本上无须人员值守,因此,并不能作为判断攻击者所在地的依据。

另外,Websense在报告中也列出了全球十大钓鱼攻击恶意URL托管主机所在地,排名从高到低分别为美国、加拿大、巴哈马、埃及、德国、英国、荷兰、法国、巴西、俄罗斯。

社会工程学是黑客们的拿手好戏

当这些恶意邮件到达用户的邮箱后,如何才能吸引用户点击附带的URL链接呢?黑客们会分析用户的行为习惯和特殊心态,通过社会工程学进行诱骗,降低用户的警惕性。比如,近期通过发送虚假的杀毒提示,攻击者屡屡得手。

面对浏览网页时右下角弹出的杀毒警告,人们基本上是不予以理会的,因为他们已经熟知这类的骗局。但当您在邮件中收到此类通知,且发件者看起来像和您有关联的组织(如银行、SNS网站)的时候,用户点击恶意URL的几率就提升了。

Websense分析发现,在今年最近的一个季度中,这类邮件主题在量级排名前五名中已占到四个名额之多。黑客们的目的非常明确,就是要吸引尽可能多的用户点击链接。我们在这里列出五大可疑信息,供读者参考:

1、 您的账户已被第三方登录

2、 XX银行账户服务消息

3、 您需要新的安全措施

4、 请验证您的活动

5、 账号安全通知

精心布局,绕开公共防护体系

有的用户也许会说,我的邮箱只在公司才用,公司的电子邮件安全系统会帮我扫描并过滤掉这些垃圾邮件。其实不然,黑客们的机智程度往往令人咂舌,他们可以绕过一些专业的IT防护系统。

Websense的统计发现,大多数的网络钓鱼电子邮件是在周五被发送的,其次是周一,分别占比38.5%和30%,周日占比10.9%,周二、周三、周四和周六的占比只有可怜的3%-6%。

这些数据说明了如下事实:

黑客们已经熟知人们的行为模式,每周五,员工们大都处于放松的状态及对周末的渴望,这很可能导致网页浏览量及链接点击率的增加;而每周一,员工刚度 过周末,马上要逼自己进入工作状态,也很可能走神,落入圈套。黑客们同时还研究了企业IT安全防护的运作模式,这也是他们会选择在周五和周一攻击的另一原 因。

攻击者在周五发送的邮件中往往附带“干净”的URL链接,以此绕过企业IT安全防护的扫描,而在周末,他们会改变URL的定向位置,以便将受害者引向恶意站点。到了工作日,员工们会以为自己即将访问的是正常页面,然后攻击就奏效了。

这样的布局可以让黑客们轻易获取员工的相关权限,访问特殊的网段窃取敏感信息,或者以此为跳板,入侵更高级别的企业管理者网络。

这简直就是各机构安全防护人员的噩梦,这类攻击的风险已经迫在眉睫,而他们却常常力不从心。钓鱼式攻击其实并不是靠量级和覆盖面取胜,而是依靠精心 的布局和适当的引诱,这些社会学攻击有时甚至让有安全防护措施的用户落入陷阱,因为他们认为自己有到位的防护,并在潜意识中对即有的安全措施过度依赖。

愿者上钩,黑客们新的猎物手段

最近,又爆出了新的钓鱼攻击方式,与以往的钓鱼攻击主动引诱用户不同,新的钓鱼方式有点守株待兔的意味。

Websense的安全实验室已经确认了几起这样的攻击事件:今年5月,美国国家安全研究协会在以色列的网站被黑客悄无声息地占领后,不停地向来访者发动RSA攻击;同月,英国国际特赦组织官网也被攻占,并在被攻占后释放Gh0st RAT,攻击来访者;今年8月,尼泊尔政府官网同样成为一个布满Zegost RAT的大陷阱。

以上3个事件中,黑客们都利用了同一个安全漏洞:CVE-2012-0507,此类性质的攻击可能是某些国际组织获取资讯的手段。他们选择这类有固 定访客类型的公共站点,在不必知道访客的电子邮箱地址的情况下,编造一系列的社会工程学陷阱。我们可以推测,这有可能是一次侦查活动,他们的目标则是一些 更为特殊的群体。

阻止钓鱼式网络攻击的三项建议

在安全报告中,Websense阐释了垃圾邮件是如何被钓鱼攻击者利用,钓鱼攻击者是如何制造各类陷阱,黑客又是如何绕过安全防护,及最新的钓鱼式攻击的变型等问题。同时,Websense的安全专家给出了如下建议:

职工培训

钓鱼式攻击中,人为因素是非常关键的。职工的相关培训是最基础的部分,可以通过制定员工手册、VOD在线和培训大会等行政手段贯彻实施,以便让职员清晰地认识到在点击邮件或链接前谨慎考虑的重要性。

电子邮件沙盒

沙盒技术的部署是电子邮件安全解决方案中重要的一环。为了在用户点击URL时检查这些链接,企业需要URL沙盒技术的支持,以便实时分析加载网页的内容及代码。

实时监测分析网站流量

因为一些员工可能会使用Gmail等个人邮箱,所以包含钓鱼式攻击的恶意邮件很可能会绕过企业的安全网关,让企业的沙盒形如虚设。这种情况下,企业需要提升安全网关的智能等级,以便实施分析网段中的可疑内容,阻止恶意邮件在内网的流通。

Websense的专家指出:以上三项安全防护工作若能被各组织认真对待且部署到位,可成功阻止90%-95%的钓鱼式网络攻击。