“高端的猎手往往采用最朴素的攻击方式。”
网络钓鱼,这种“古老”的攻击方式,从20世纪90年代至今“经久不衰”,伴随时代技术的迭代不断“进化”,至今仍然困扰着无数企业。
网络钓鱼攻击的核心是仿真,用技术手段伪造以假乱真的邮件或网站,让受害者“自愿”上交敏感信息。最早的案例出现在1995年,慢慢发展到今天,演化成一种“先进”的黑客技术叫做“验证码发一下”。
从意外中奖、网购退款、快递丢失、核酸异常……再到最近的周董NFT被盗,网络钓鱼虽老生常谈,但防不胜防。这些恶名昭著的网络钓鱼究竟是什么?它是怎么出现的,为什么能够屡屡冲破防线,就连名人巨星、大型企业都时常被“钓”得措手不及,又可能以什么方式来侵害我们的信息安全?
网络钓鱼手段迭代升级
1995年的一天,一些用户收到来自了自称“AOL(美国在线)工作人员”的邮件,要求其回复“确认账号”及“核对账单信息”等内容。而有些用户不加怀疑地发送了自己的信息,并透露了账户密码。
这正是最初阶段的网络钓鱼的手法,钓鱼者伪装身份骗取用户的信息。在获得了用户账户后,钓鱼者可以利用受害人的账户进行诈欺或者发送垃圾邮件。
为了避免这种手段的蔓延,AOL在其所有即时通信工具上加了一行声明:“不会有任何员工询问您的密码或者账单信息。”这句在今天随处可见的提示语,成为对抗网络钓鱼的重要一步。
到了2001年,网络钓鱼者开始尝试攻击在线支付系统,尽管他们对E-gold的攻击以失败告终,但这次事件似乎给了他们极大的“鼓励”。他们意识到,相比较获取一般的电子邮箱账户或网站账户,普通人的金融、银行账户显然更具“经济”价值。至此,网络钓鱼的第二阶段,开始转向金融领域。
后来短短几年时间,国内外都相继出现欺骗性极高的银行克隆网站,通过向其客户发送具有欺骗性的电子邮件,引诱他们输入敏感信息。
精心伪装是钓鱼网站的初级手段,更上一层楼的方式是直接用病毒攻击。一个著名的案例是2009年震惊世界的“银行劫持案”, 巴西的一家互联网服务提供商NET Virtua遭到了DNS缓存中毒攻击,导致巴西最大银行Bandesco大量客户被引导到仿冒网站,钓鱼者以此窃取密码并安装恶意软件。
网络钓鱼做嫁衣,向关键基础设施进行勒索攻击
最初的“钓鱼”,只是想通过盗窃的方式获取用户信息,以此牟利,但“盗窃”往往不会百分百奏效。为了获取更大的“利益”,网络钓鱼开始与勒索软件捆绑在一起。用户一旦好奇点进钓鱼链接,自己的设备就可能沦为勒索软件索要赎金的“肉鸡”。
2017年,WannaCry勒索病毒全球爆发,这场勒索风暴席卷了全球150个国家30万台电脑,造成损失达80亿美元,已经影响到金融、能源、医疗等众多行业,造成严重的危机管理问题。国内部分Windows操作系统用户遭受感染,严重影响正常学术与工作。
尽管WannaCry勒索病毒并非使用钓鱼邮件,而是通过漏洞攻击蠕虫。但是这个案例给了网络钓鱼“新的启发”。
2021年,Cloudian发布了一项针对过去两年经历过勒索软件攻击的200名IT决策者调查报告。报告显示,通过网络钓鱼方式遭遇勒索软件的受访者占比近25%,被勒索软件攻击后造成的财务损失总体平均接近50万美元。55%的人表示他们最终支付了赎金,平均赎金成本为22.3万美元。近15%的人表示他们支付了50万美元或更多。但即使在付款后,也只有57%的人取回了所有数据。
此后,勒索病毒又持续不断演变出各种版本和类型,并在疫情催化下于2021年达到爆发高峰。数据显示,2021年勒索市场总额超过200亿美元,单笔最高赎金达4000万美元,关键基础设施、供应链和医疗行业等成为勒索攻击的主要目标。尤其针对公共卫生机构,攻击者利用疫情相关类文档进行诱饵攻击和钓鱼攻击,窃取疫情相关情报或获取经济利益,对疫情防控造成极大威胁。
已知网络钓鱼的13种常见类型:
- 第1类:网络钓鱼:普通群发电子邮件
- 第2类:鱼叉式网络钓鱼:追求特定目标
- 第3类:捕鲸:追逐大家伙
- 第4类:商业电子邮件诈骗:冒充领导
- 第5类:克隆钓鱼:来自真实的复制
- 第6类:语音网络钓鱼:通过电话进行网上诈骗
- 第7类:短信欺诈:通过短信钓鱼
- 第8类:雪靴:传播骚扰讯息
- 第9类:灯笼式钓鱼:飞蛾扑火的欺骗
- 第10类:域名欺骗 :相仿的域名
- 第11类:恶意孪生:假冒WiFi
- 第12类:水坑攻击:埋伏之地
- 第13类:DNS下毒:错误的路标
安全前置,构建立体安全防御
网络钓鱼至今已经存在超过25年,不可否认它仍然是一种“有效”的网络攻击技术。其屡试不爽的原因,正是凯文·米特尼克在《反欺骗的艺术》中指出的“人为因素是安全的软肋”。
网络安全的本质是攻防,核心是人与人的对抗。而社会工程学攻击可以说是一种绕过网络安全技术防护体系,直接利用人性的弱点进行突破的方法。黑产们往往会通过对受害者心理弱点、好奇心、信任、贪婪等心理设计陷阱,甚至利用AI算法、大数据等方法对目标展开攻击。但大多数企业在投入大量资金进行企业安全建设时,往往容易忽视人这一普遍但关键的因素。相关报告显示,42%的员工承认,自己在上网时采取了危险行动,如单击未知链接、下载文件或暴露个人数据,未遵循网络钓鱼预防最佳实践等。
而通常员工的一个危险行动将让网络钓鱼者找到可趁之机,而网络钓鱼攻击又将为其他攻击者打开企业的网络大门,接踵而来的可能会是加密劫持、数据外泄,甚至是金融窃取。
对此,腾讯安全专家建议,企业可以从技术和员工安全意识两个层面来有效防范钓鱼攻击。在技术上,可以部署零信任、全流量的态势感知、终端安全防护、安全威胁情报、安全邮件网关等相关的安全产品;在安全意识上,可进行安全意识的培训,按员工岗位分类制订可持续的培训计划。一旦发现钓鱼或可疑事件时,及时反馈给企业的IT或安全部门进行快速止损或实施预防补救措施。
在加速构建的数字化新场景下,传统的“补锅”式安全防御思路,即将重点放置在被动建立防御系统,事后补救处置,基本无法应对数字变革的几何级增长速度。企业应该从组织管理到IT基础设施构筑起立体的防御体系,将安全前置部署最大限度规避攻击风险、降低攻击损失。
无论是一句提示语,还是技术上的零信任,在捍卫美好网络世界的安全持久战中,对抗网络钓鱼或许只是开始。
参考资料:
Gupta, B. B., Tewari,A., Jain, A. K., & Agrawal, D. P. (2017). Fighting against phishingattacks: state of the art and future challenges. Neural Computing andApplications, 28(12), 3629-3654.
https://www.getcybersafe.gc.ca/en/resources/history-phishing
https://www.phishing.org/history-of-phishing