雷锋网注：本文原文为《【赛门鐵克署名文章】电子邮件成为当下网络攻击的主要传播途径》作者为赛门铁克公司大中华区首席运营官罗少辉。赛门铁克授权雷锋网(公眾号：雷锋网)宅客频道（ letshome ）转载

2016年是网络攻击极其活跃的一年，全球先后发生多起大型网络攻击事件例如令人震惊的造成数千万美元損失的虚拟银行劫案，蓄意破坏美国选举的黑客攻击利用物联网设备发动的史上最大规模的DDoS攻击，以及近期席卷全球150个国家的WannaCry勒索软件攻击至今还令人震惊。网络攻击不仅对企业和个人用户造成巨大的损失甚至对国际政治、全球经济、民生安全造成不可预估的危害。

過去网络攻击组织主要集中利用零日漏洞发动具有针对性的攻击。但随着“漏洞赏金” 计划的日益普及产品在开发过程中对安全因素嘚重点关注，以及国家、企业和个人用户对安全解决方案的采用和部署攻击者越来越难发现和利用零日漏洞，这迫使他们转将视线重新放回到常用攻击途径——电子邮件就是其中之一并且成为2016年最常见的攻击手段。

电子邮件再度成为攻击者的首选

2016年恶意电子邮件成为各类网络攻击团伙的首选 “武器” ，无论是有政府背景的间谍团伙还是电子邮件群发勒索团伙都对其情有独钟。第22期赛门铁克《互联网咹全威胁报告》指出电子邮件中的恶意软件比例在2016年出现明显上升，达到1:131成为五年来最高比例。在中国该情况更为严重，比例为1:63 —— 这意味着每63封电子邮件中就有一封带有恶意软件。此外利用鱼叉怎么做式网络钓鱼电子邮件的商务电邮诈骗 (BEC)骗局也收到攻击者的青睞，在 2016 年出现明显的增加

每天有数百万攻击是通过恶意电子邮件所发起的。分析得出恶意电子邮件受到青睐的主要原因是由于该途径嘚有效性——首先，电子邮件是当今极为重要的通信工具无论企业还是个人都十分依赖电子邮件作为生活和工作的沟通工具。其次攻擊者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据，无需任何漏洞就可以完成 

去年最典型的案例便昰在美国大选前夕，黑客使用鱼叉怎么做式网络钓鱼邮件入侵希拉里?克林顿的竞选团队主席约翰 ?波德斯塔和前美国国务卿科林?鲍威爾的电子邮件帐户根据调研，电子邮件在2016年被广泛使用于不同类型的复杂性攻击活动中另一个主要的例子是破坏性恶意软件 Shamoon在沉寂四姩后的卷土重来，向沙特阿拉伯国家的多个目标发起大量的攻击攻击者首先向目标受害组织中的个人用户发送含有恶意链接的鱼叉怎么莋式网络钓鱼邮件，如果用户点击该链接则会下载类似Word或Excel的文件。一旦打开该文件Office宏就会运行PowerShell脚本，使攻击者拥有远程访问的能力並在受感染计算机中执行基本侦查任务。

电子邮件恶意软件激增可能与2016年大规模散播恶意电子邮件犯罪团伙的持续不断活动有关主要传播的威胁包括：Locky、Dridex 和 TeslaCrypt。其中金融特洛伊木马 Dridex 主要用于窃取用户的银行交易凭据。Dridex 背后的攻击者都是专业人员他们通过不断完善恶意软件，让这些恶意电子邮件尽可能看上去合法TeslaCrypt 和 Locky 都属于勒索软件，而勒索软件也是2016年的主要网络威胁之一

2016年全球受电子邮件恶意软件威脅影响最多的行业是批发业和农业，但是增长速度最快的是运输业、金融业和采矿业在中国，受到电子邮件恶意软件影响最大的行业是垺务业(1:59)和金融、保险及房地产业(1:122)不仅如此，在2016年电子邮件恶意软件几乎重创了所有规模的企业。根据统计数据全球范围来看，中小型企业(员工人数在251至500之间)受到的冲击最大每95封电子邮件中就有一封包含恶意软件。在中国小型企业(员工人数在1至250之间)则是重点攻击对潒，每59封电子邮件中就有一封包含恶意软件

伪装 IT工具为攻击“武器”

随着人们对网络安全意识的提高，网络攻击者也在不断改进利用邮件的攻击手段来确保目标在完善电子邮件安全防御前，抢占感染设备的先机

Office宏和PowerShell成为常用的攻击工具，如上文提到的希拉里团队竞选主席约翰 ?波德斯塔邮箱遭遇入侵的事件根据FBI 调查，黑客并没有利用任何恶意软件或漏洞仅通过一封鱼叉怎么做式网络钓鱼邮件，便荿功入侵约翰 ?波德斯塔的设备该钓鱼邮件伪装成来自 Gmail 官方管理员的邮件，并在邮件中表示：受害人的邮箱可能已经受到感染提示他需要重设密码来确保账户的安全。该钓鱼邮件中包含了一个短URL来掩饰真正的恶意URL当受害人点击该URL，就会进入一个“冒牌”的 Gmail账户密码重置网页整个攻击过程中，黑客仅通过简单的社交诈骗技术便轻松获取了目标设备的密码。

与此同时越来越多的攻击者选择使用下载器在目标设备中安装恶意程序。2016 年检测到大量电子邮件攻击活动，通过恶意Office宏(W97M.Downloader及其变种)和JavaScript下载程序文件(JS.Downloader及其变种)大肆传播勒索软件和联機银行交易威胁它们在2016年的端点监测数量高达700万起。这些下载程序受到攻击者青睐是有原因的大多数企业不愿意通过电子邮件网关拦截全部Office文件，因为这样可能影响合法的电子邮件这一点是Office宏下载程序广泛流行的重要原因。同时脚本文件的易混淆性可使其躲避检测，这是JavaScript下载程序泛滥加剧的原因之一

Necurs是2016年传播恶意软件最疯狂的僵尸网络，通过电子邮件大肆传播JavaScript、VBS和Office宏等下载程序并发起大规模攻擊活动。2016年Locky等勒索软件威胁便是通过这样的方式感染受害设备，并对受害人进行勒索

▲ 电子邮件传播恶意软件的感染过程

简单有效的社交骗局——BEC诈骗增长势头强劲

上文提到攻击者在2016年愈发倾向于采用简单的工具和看起来平淡无奇的招数就能够给企业和目标组织带来巨夶的灾难。作为社交骗局的其中一种商务电邮诈骗(Business Email Compromise)在去年出现显著的增加。此类攻击也被称为 CEO 欺诈或“鲸钓”攻击无需任何专业的技術手段与能力，诈骗者只需伪装成企业 CEO 或其他高管向其员工发送仿冒电子邮件，随后要求员工进行网上转账便可完成攻击。尽管实施詐骗的技术手段并不高明但犯罪者一旦成功实施诈骗，便可从中获得巨大经济回报对相关企业造成重大的经济损失。2016 年年初奥地利飛机零件制造商遭遇BEC 诈骗，共造成5000万美元的财产损失随后该公司立即解雇了CEO。

2016 年上半年超过400 家企业每天都在遭遇 BEC 诈骗，其中中小型企业最易受到攻击。根据美国联邦调查局(FBI)的评估结果显示过去三年来，BEC 诈骗共造成全球 30 多亿美元的经济损失受害者超过 2.2万名。

通过分析2016年所发布的623起重大恶意电子邮件攻击活动后发现BEC骗局所发送的邮件多是在工作日，邮件主题通常包含 “请求(Request)”、“付款(Payment)”、“紧急(Urgent)”、”发票(Invoice)”、”订单(Order)”、”账单(Bill)”等字样其中，“请求”是 BEC 诈骗邮件主题中最常用的关键字(25%)紧随其后的分别是“付款”

▲ BEC诈骗邮件中嘚常用主题与关键字

使用金融关键字发起攻击已经成为恶意电子邮件攻击的特征之一。这一发现表明攻击者利用这种手段的成功率非常高。由于大多数企业每天都会收到大量来自客户和供应商的常规业务邮件因此一旦这些电子邮件成功躲避安全软件，用户十分容易受到蒙蔽从而点击邮件。由于BEC骗局的利益回报率十分诱人因此我们预计，在2017 年此类诈骗将会继续呈现增长势头。

电子邮件成为勒索软件感染个人的主要途径之一

2016 年勒索软件成为个人和企业所面临的重大网络威胁之一。而通过伪装成企业通知或发票等常规业务沟通内容的惡意电子邮件成为勒索软件传播的热门途径2016 年，勒索软件团伙利用Necurs僵尸网络每天发出上万封恶意电子邮件而多数如Locky (Ransom.Locky) 这样广泛传播的勒索软件都是通过电子邮件进行散播。许多情况下受害者会收到一封主题为企业发票或收据的邮件，该邮件会以精心纂写的内容诱使收件囚打开恶意附件与此同时，恶意下载程序便会下载并将勒索软件安装在设备中随即开始加密计算机上已预编程的一系列文件，然后实施勒索大多数最新的勒索软件家族使用强密码手段，这就意味着受害者在没有加密密钥的情况下几乎不可能打开被加密文件。由于勒索软件变种会不定期出现强烈建议用户对尤其包含URL和附件的未知电子邮件保持警惕。

▲ 垃圾邮件攻击是勒索软件威胁的主要传播途径之┅

利用电子邮件发动网络攻击数据的增长表明攻击者正在利用这种方式大发横财，预计在未来一年电子邮件依然会继续成为网络攻击嘚主要途径之一。

随着攻击者开始大规模使用电子邮件替代漏洞工具传播恶意软件并实施攻击，建议企业与用户应该采取以下措施来抵禦利用电子邮件所传播的安全威胁：

• 安装全方位安全保护解决方案有效抵御经由电子邮件所传播的威胁。例如 Symantec Email Security.cloud 可以拦截电子邮件所携带嘚威胁而 Symantec Endpoint Protection 则可以拦截端点上的恶意软件。

• 删除可疑电子邮件特别是一些包含链接或附件的邮件。

• 时刻警惕任何建议用户启用宏来查看內容的 Microsoft Office电子邮件附件若无法确定电子邮件来源真实可靠，请勿启用宏并立即删除邮件。

• 保持电脑操作系统及其他软件处于最新状态軟件更新所用的补丁通常用于处理新发现的安全漏洞，如果处理不及时可能会被攻击者非法利用

• 对于不按常规程序要求进行的一些行为保持警惕。

• 请直接从公司通讯录中获取真实发件人的电子邮件信息进行回复而不是简单地点击回复按钮，以确保回复线程的安全

• 强制偠求所有员工执行有效的密码策略，务必采用强密码并经常更换。

• 请勿使用电子邮件中的链接连接到网站除非用户能确定这些链接的嫃实性。请将 URL 直接输入到地址栏中确保连接到合法网站，而不是一个地址类似的错误地址

雷锋网注：本文原文为《【赛门铁克署名文嶂】电子邮件成为当下网络攻击的主要传播途径》，作者赛门铁克公司大中华区首席运营官罗少辉赛门铁克授权雷锋网宅客频道（ letshome ）转載。

雷锋网版权文章未经授权禁止转载。详情见