网络钓鱼攻击的目的包括:
- 高级歭续性威胁(APT)
网络钓鱼这种攻击方式早就存在但至今仍受攻击者青睐。在搭建了合适的钓鱼网络、收集了信息以及放置诱饵之后攻击者鈳入侵任何公司、组织甚或政府机构,造成极大破坏实际上,时至今日网络钓鱼仍是最有效、最受攻击者欢迎的攻击向量。
根据PhishLabs于2016年所作研究2015年22%的鱼叉式钓鱼攻击的动机均为金融诈骗或其他相关犯罪。通过这种攻击方式攻击者获利颇丰,所以该类事件不胜枚举例洳,2016年初针对木兰健康公司(Magnolia Health)的攻击中一钓鱼网络假冒该公司CEO发送邮件。这就是所谓的伪造邮件钓鱼攻击直接造成公司员工数据泄露,包括员工的社保号、工资标准、出生日期、通信地址、姓名全称以及工号
当然,木兰公司并非个例2014年底与2015年初就发生了有史以来最大嘚医疗行业数据泄露事件,这次的目标是Anthem公司该事件泄露了3750万份数据,涉及Anthem员工及病人黑客窃取了姓名、通信地址、社保号、医疗识別号、收入数据、Email地址等,但并未窃取健康相关信息
木兰公司的数据泄露事件确认为网络钓鱼导致,Anthem事件中所运用的实际攻击方法一直未有定论不过,有专家认为应是网络钓鱼的变种黑客先获取了IT管理员凭证,在之后的两个月中随意出入公司的数据库。当然Anthem对失竊文件未进行加密加剧了问题。
美国联邦调查局(FBI)于2016年年中时发布警告称2016年上半年网络钓鱼攻击造成的经济损失高达31亿美元。这还仅仅是6個月的统计数字最主要的威胁来自于企业邮件入侵(BEC)攻击。FBI还警告“BEC诈骗数量持续增长,手段不断翻新各种规模的企业均是其目标。洎2015年1月以来确认由数据泄露造成的损失增长了1300%。全美50个州、全球100多个国家均有此类事件发生报告显示,诈骗金额被转往79个国家主要昰位于中国和香港的亚洲银行。”
APT也是一种网络攻击者喜欢的攻击方式总的来说,这是一种长期感染或安全漏洞可能持续数周、数月甚至长达一年而不为人知。这些攻击中没有“最常见”的目标基本上,任何人都可能被攻击各种规模的企业、非盈利组织甚至政府机構都可能遭遇APT攻击。还有一点很重要APT多与外国政府和军方有关,而非常规的钓鱼网络
过去几年间有数起成功的APT攻击。其中最有名的包括2009年的极光行动、2011年的HBGary Federal攻击、同年发生的RSA攻击以及之后的震网(Stuxnet)、APT1(涉及中国军方)和APT28(涉及俄罗斯军方)这些攻击持续时长不等,但方法相似嘟始于鱼叉式钓鱼攻击。
- 一般针对行事高调的目标;
诱捕式攻击指目标一旦上钩攻击者便会长期潜伏,持续攻击受害人多数钓鱼攻击类姒于肇事逃逸,持续时间相对较短但APT会持续很长时间。之所以这样部分原因是受害者一般很难发现攻击,因而也就无法进行响应
如仩所述,APT针对特定目标以实现特定目的。APT的任务从窃取资金到收集敌对政府的情报甚至是实现政治目标不一而足它们还经常针对数字資产,如核电厂设计或高科技原理图
典型的APT攻击包括如下6个主要步骤或阶段:
- 攻击者收集目标的信息,常用方法是社会工程其他方法還包括网页抓取、通过聊天室和社交网络进行人际互动等。
- 攻击者构造并发送钓鱼邮件和/或消息内容针对目标量身定制,真伪难辨包括真实姓名、电话号码、地址以及用以骗取信任的其他细节信息。
- 目标打开邮件进行操作:点击链接打开受感染或伪造的网站,或下载受感染的文档不管哪种情况,目标都已受骗上钩
- 用户所使用的系统被入侵。
- 入侵系统接下来会感染目标组织、公司或机构的整个网络
- 攻击者伺机攻击目标获取数据。最后APT组织会提取数据并进行解析和整理。
一旦感染并控制了目标APT实施者便能够进一步植入恶意软件、病毒和其他威胁。例如可部署远程访问木马(RAT),让APT组织长驱直入访问网络中的任何数据。取得控制权后APT组织会潜伏下来,监听并窃取信息直到受害人发觉网络被入侵,而在这之前攻击者一般有充足的时间不慌不忙地收集数据。
有些钓鱼攻击诱骗用户在假冒网站或Web表单中输入信息以窃取凭证而有些则有进一步企图。恶意软件由来已久不过现在的它们比过去要高级得多。在受害者系统中安装恶意軟件是钓鱼网络在渗透并感染目标公司或组织时最喜欢的一个方法钓鱼组织主要通过两个手段实现这个目的。
其中一种是通过恶意附件感染目标系统这种情况下,要精心构造邮件并发给个人邮件中包含附件,或为Word/PDF文件或为其他格式的文件。无论哪种情况邮件发送囚看似都很可信,比如可能是同事、老板、金融机构等。
最好的情况是杀毒软件在此类附件打开前进行扫描并检测到恶意软件然而,即使是最新的杀毒软件有时也无法对压缩文件进行彻底扫描风险依然存在。
勒索软件在钓鱼网络中的地位日益凸显是最可怕的恶意附件之一。不过勒索软件还可以通过受感染网站下载,这意味着邮件附件并不是攻击者的唯一选择勒索软件恰如其名。这种恶意软件先感染目标系统然后进行加密,这样就如同控制人质一样控制了硬盘中的所有数据在个人、公司或组织支付赎金后,攻击者释放文件消费者、CEO甚或警察局都曾被如此勒索过。
通过附件传播恶意软件时还能使用宏病毒这种病毒常用于感染微软Office文件,启动程序或进行特定操作都会触发病毒
钓鱼网络感染受害者时使用的另一个手段是恶意链接。这种情况下邮件中包含的不是恶意附件,而是URL邮件或社交媒体消息的目的是诱骗目标点击链接。一旦点击计算机中就开始下载代码,或者用户被定向至病毒/伪造网站恶意软件乘机植入到计算機中。
恶意链接比恶意附件更有效因为钓鱼网络竭力使消息看起来真实可信。前述木兰公司攻击中所使用的邮件就是这样一个典型例子邮件内容各不相同,但如下几种最常见:
- 通知用户其账户被黑或遭遇某种恶意行为;
- 通知用户进行操作以避免账户被冻结或验证身份;
- 通知鼡户检测到金融账户存欺诈行为
其他类似方法还包括抢注域名和误植域名,这两种方法依赖的都是正确拼写的URL的变体抢注域名是指注冊和实际公司域名非常类似的域名,然后再模仿真实公司网站伪造另一个网站误植域名的过程大同小异,但利用的是输入公司域名时常見的打字错误
最后,网络钓鱼仍是攻击者最灵活、最有效的武器之一此外,随着时间的推移钓鱼攻击有增无减。公司和组织对于此類风险总是后知后觉而在实施安全规程、进行必要培训以抗击日益增多的威胁方面行动更为迟缓。之所以这样说是因为安全事件越来越嚴重受影响公司既包括家得宝这样的零售公司,也包括Anthem这样的大型企业集团