美高梅集团app下载现在是一家ReliaQuest公司
品牌保护 / 网络钓鱼的生态系统:从小鱼到马林鱼

网络钓鱼的生态系统:从小鱼到马林鱼

网络钓鱼的生态系统:从小鱼到马林鱼
光子研究小组
阅读更多来自Photon研究团队的内容
2020年2月20日 | 31 分钟阅读

你刚赢了1000美元. 点击这里领取奖励!

 立即! 需要线细节.

看看这只猫在做什么. 内部链接.

这些邮件的主题行中有一个是网络钓鱼,但你能一眼就认出来吗? 你知道它是怎么制成的吗? 它到底是从哪里来的? 如果我点击它,我是pwned?  

网络钓鱼邮件是现代网络犯罪中最容易被利用的“漏洞”. 网络钓鱼是随着时间的推移而演变的, 在开发和交付方案的每个阶段采用新的表单并添加高级功能. 带有拼写错误和语法错误的简单社交工程电子邮件,已经演变成人们每天通过电子邮件收件箱看到的几乎无法察觉的品牌模仿.

 

The Origins of Phishing <><

关于网络钓鱼最有趣的事情之一是它的名字是怎么来的. 没有人会感到惊讶, 网络文化的初期以网络犯罪活动为特征. 在蓬勃发展的美国在线(AOL)聊天室, 用户会用窃取的账户和伪造的软件进行交易. AOL试图创建探测系统来对抗这种威胁, 但他们遇到了一个特别的障碍.

用户将揭露网络犯罪的术语换成了“<><符号,因为它是AOL消息系统中最常用的HTML标记. 注意相似? 看起来像条鱼,对吧? 正确的? 在这段时间里,窃听或电话窃听也非常流行. 把这两者结合起来,你就得到了“网络钓鱼”.”  

你点击了那个链接并阅读了这篇文章吗? 它是迷人的. 美高梅集团app下载会等待. 去吧.

 

尽管这个事实可能很有趣, 美高梅集团app下载实际上不知道这是不是真的, 因为唯一提到这个符号与网络钓鱼有关的是维基百科——一个没有来源的维基百科词条, 在那. 但你还是忍不住点了链接,对吧? 你是?

钓鱼关键发现和统计数据

美高梅集团app下载为你准备了一份深入的研究报告, 但如果你想做个概述的话, 以下是美高梅集团app下载的快速发现和数据:

  • 进入壁垒 |预先制作的模板的存在可以显著降低钓鱼攻击的进入壁垒, 基础设施, 以及在网络犯罪论坛和市场上出售的教程. 钓鱼教程可以在网络犯罪论坛和市场上购买,平均价格为24美元.而实施攻击所需的工具成本在20美元以下. 预构建页面或模板的平均成本是23美元.27.
  • 零售和电子商务 |在网络犯罪论坛和市场上预建的100多个钓鱼网页和模板广告中, 29%专门针对零售和电子商务机构. 这些产品的平均售价为20美元.43.
  • 银行 针对银行机构的克隆或模板页面占广告的15%, 但平均售价为67美元.91. 这种较高的价格可能是由于窃取网上银行服务的证书所带来的纯粹的金融机会. 
  • 钓鱼网页模板$2-3 |美高梅集团app下载找到的最便宜的钓鱼网页模板是一些最大的在线品牌,包括零售商和社交媒体网站, 平均在2 - 3美元之间.
  • 钓鱼用户和策略 网络钓鱼是最受欢迎的攻击技术之一. 它既被低级威胁行为者使用,也被民族国家威胁集团使用, 它有很多不同的形式. 这取决于选择的目标, 攻击者必须选择最合适的策略和过程,从而有最高的机会导致成功的网络钓鱼.
  • 钓鱼的过程 |此过程包含四个不同的阶段:创建钓鱼电子邮件, 分配方法的选择, 收集的数据, 和兑现.

制造网络钓鱼攻击:购买你的设备

全部地,完全地

现在我已经把你吸引到😉来阅读这篇文章的其余部分 光子研究小组 报告,让美高梅集团app下载看看网络钓鱼的整体情况:

  • 钓鱼邮件是如何创建的
  • 他们是如何分布的
  • 攻击者的战术、技术和过程(ttp)
  • 在攻击者看来,成功是什么样子的呢

让美高梅集团app下载从一些数据开始.

攻击者是否处于网络钓鱼的早期阶段, 或者他们很快就需要建立一个网络钓鱼页面并运行, 只要看看犯罪市场上熙熙攘攘的经济就知道了. 既然可以买到更好更成功的东西,为什么还要从零开始制作呢?  

Photon在过去的两年半时间里从犯罪市场收集了超过100个广告,就像现在已经不存在了 AlphaBay和Hansa市场,以及apollo、Dream Market和Wall Street等新加入的网站. 美高梅集团app下载发现,网络钓鱼者愿意花大价钱为银行业的公司购买克隆或模板的网络钓鱼页面, 特别是. 如图1所示,银行公司的克隆页面平均价格为67美元.91. 电子商务远远排在第二位,每页约20美元, 以及社交媒体网站, 技术, 电子邮件服务提供商的表现甚至更差.

 钓鱼模板的平均成本

图1:不同钓鱼模板的平均成本细分

即使银行模板/克隆是昂贵的, 美高梅集团app下载发现电子商务广告比其他任何东西都多, 占广告总数的29%观察到. 银行, 电子邮件服务, 社交媒体, 技术紧随其后, 这个顺序, 如下面的图2所示. 关于多包装的说明:这些广告包含美高梅集团app下载讨论过的几个定向垂直广告, 而不是把它们分开, 美高梅集团app下载已经将它们归类为“多包”类. LeeLoo Dallas会感到骄傲的.

 散布钓鱼广告

图2:不同类型模板的频率细分

银行业务可能是最赚钱的,因为答案很明显:你用网络钓鱼的方式登录银行,你几乎可以保证赚到钱. 电子商务也有意义, 因为人们倾向于将他们的支付凭证存储在他们的账户中以便快速购买. 美高梅集团app下载在深入研究数据时发现了一个有趣的异常值, 投资公司是最昂贵的网络钓鱼页面吗. 某知名投资公司的一个页面广告售价高达550美元, 另外一家公司的五个独立广告的平均广告费刚刚超过338美元.

不过这太贵了! 攻击者也会像美高梅集团app下载一样受到预算的限制, 在购买钓鱼网页时,他们很幸运. 美高梅集团app下载找到的最便宜的钓鱼网页模板是一些最大的在线品牌,包括零售商和社交媒体网站, 平均在2 - 3美元之间.

考虑到廉价访问高质量的钓鱼网页, 不起眼的网络钓鱼域名,几分钱就能买到, ,一步一步的走查, 难怪如今网络钓鱼如此盛行.

 

选择你的目标并购买(或创造)诱饵

那么,去钓鱼需要什么呢?  

如果你问 U.S. 鱼 & 野生动物服务, 你需要:鱼竿和卷轴, 4到12磅测试单丝钓鱼线, 一包钓鱼砝码, 鱼钩(6-10号尺寸), 塑料或软木浮球, 饵:精选的活饵或鱼饵, 而且, 在某些情况下, 钓鱼证(取决于你的年龄), 当然).

如果你在网络犯罪论坛上问这个问题,你可能会得到略微不同的回答. 第一阶段几乎总是包括选择目标. 你是要钓鲦鱼还是那难以捉摸的1000磅的马林鱼? 事先知道这一点很重要,因为不同的目标需要不同的战术和工具. 例如, 一个大型, 更多不分青红皂白的网络钓鱼攻击(小鱼)可以更有利于使用非个人和通用的电子邮件撒在广泛的网(e.g. 一个垃圾僵尸网络). 瞄准高级管理人员(马林鱼), 另一方面, 可能需要更细致和个性化的方法(e.g. spearphishing). 

值得庆幸的是, 有多种选择,以满足每一个钓鱼者的需要, 新手或专业. 以下是一些比较常见的网络钓鱼制作方法.

 1.电子邮件模板

流行的服务(比如电子邮件和社交媒体平台)经常受到钓鱼攻击的欺骗. 全世界数以百万计的人每天都依赖于这些, 给欺诈者一个很大的攻击面. 钓鱼电子邮件模板和社会工程“如何”指南是很常见的 犯罪论坛和市场. 这些模板还可以与钓鱼工具结合使用, 允许攻击者创建欺骗的登录页面,然后直接链接到钓鱼邮件中(稍后会详细介绍).

只要你有钱买个模板就行, 您不需要是一个老练的威胁参与者,就可以成功地实施网络钓鱼攻击. 你甚至不需要深入了解你的目标. 图3是2020年2月XSS上的截图, 一个俄语论坛, 显示提供专用网络钓鱼工具, 包括模板和诈骗页许多流行的服务.

宣传带有知名网站模板的钓鱼工具

图3:知名网站模板钓鱼工具的广告

通常, 这些模板旨在伪装成合法的公司邮件,欺骗收件人交出敏感信息, like credentials; password resets or notifications of suspicious activity are among the most common. 这些模板中最令人信服的目标是使其与实物难以区分, 通常使用相同的资产(例如.g. 图像、字体和措辞).

 

变得邋遢或者聪明?

你会认为完美执行的网络钓鱼模板是一种方法. 谁会成为充满图像和语法错误的电子邮件的受害者呢? 我相信你已经亲眼见过这些:网络钓鱼邮件看起来灾难性的(和滑稽的)糟糕, 错误的公司标志, 丢失的资产, 各种格式都有. 但攻击者比美高梅集团app下载想象的要聪明. 在某些情况下,正确的做法实际上可能是故意发送草率的邮件.

尽管这似乎有悖直觉, 有一种观点认为,格式糟糕的网络钓鱼诱饵可以帮助清除那些不太可能从一开始就轻易交出个人信息的受害者.  

这里有一个例子:

格式不佳的谷歌钓鱼电子邮件

图4:格式不佳的谷歌钓鱼电子邮件

不难发现这封邮件中的错误:缺少大写字母, 坏的格式, 粗略的发件人和收件人地址, 还有一个奇怪的谷歌标志. 美高梅集团app下载(希望你)不会犹豫忽略和删除这封邮件, 但美高梅集团app下载也不是目标用户.

如果受害者没有看到对其他人来说很明显的错误, 他们也可能没有意识到点击未知链接的风险,这些链接会将他们发送到虚假的登录页面. As 这是微软说的: 

通过发送一封让所有人都反感的电子邮件(除了最容易上当的人),骗子就能获得最有希望的分数,供自己选择, 并使正误比对他有利.”

攻击者还必须意识到一个技术因素. 像tf-idf这样的算法 词频-逆文档频率, 解析文档的文本,并根据这些特定单词在其他单词集合中出现的频率分配权重, 类似的文件. 搜索引擎使用它根据搜索查询对文档进行排名和评分, 但它也被电子邮件垃圾邮件过滤器用来帮助识别恶意邮件,并阻止它们到达用户的主收件箱.

通过改变钓鱼邮件的格式, 比如拆分单词, 攻击者可以试图混淆垃圾邮件过滤算法的逻辑. 这也可以解释为什么一些钓鱼邮件会用Unicode字符来表示字母表中的字母.

你能找出“a”和西里尔字母“а”之间的区别吗??

Unicode表示与常规ASCII有不同的字符编码, 它可以帮助确定钓鱼电子邮件是否被标记为可疑.

文本随机服务提供出售的XSS

图5:XSS上出售的文本随机化服务

 

这些策略在网络犯罪界是众所周知的. 在2019年8月XSS俄语网络犯罪论坛上的一篇文章中, 例如, 一位用户询问如何向20个数据库发送钓鱼邮件,能够成功到达Gmail收件箱的用户, 雅虎!、iCloud和Outlook用户. 他们收到了另一位论坛用户的回复,并给出了具体指导,他说:

  1. 20000封邮件对于群发邮件来说是一个很小的数字
  2. 发送没有链接的邮件有助于它绕过垃圾邮件过滤器——电子邮件中的链接是垃圾邮件过滤器寻找的第一个可疑特性
  3. 随机文本(缩进和空格)将增加电子邮件到达收件箱的机会
  4. 从企业服务器发送会更成功

XSS用户建议文本随机绕过垃圾邮件过滤器

图6:XSS用户建议文本随机化以绕过垃圾邮件过滤器

2. Phishing-as-a-Service

模板的另一种替代方案是网络钓鱼即服务(PHaaS)选项,该选项允许攻击者租用进行网络钓鱼攻击所需的基础设施. 获取和设置后端基础设施可能非常耗时, 昂贵的, 没有专业知识也很难. 通过外包大部分艰苦的工作, phishing capabilities are opened up to those who would not otherwise have them; renting resources for a limited time can be a very economical option.   

PHaaS服务通常以熟悉的方式实现货币化, 提供不同的月度订阅级别, 每个都有不同级别的功能. 地下网络犯罪提供即服务的商业模式越来越多地反映出现实生活中的情况, 并且在决定服务是下沉还是游动时起着至关重要的作用. 美高梅集团app下载在美高梅集团app下载的博客中深入讨论了这一现象。地下网络犯罪如何反映真实世界”.

 利用1提供的网络钓鱼基础设施租赁

Exploit2上提供的钓鱼基础设施租赁

 图7:利用上提供的网络钓鱼基础设施租赁

3. 钓鱼工具

弄清常见在线服务的登录页面布局并不困难. 攻击者要么克隆这些网站,要么购买预先制作的模板, 而网络钓鱼工具可以进一步加快这一过程.

网络钓鱼工具包是一套集所有功能于一身的工具集,它拥有攻击者发起网络钓鱼攻击所需的一切. 你可以把它看作是一个初级装备,包括鱼竿、鱼线、鱼钩和鱼饵. 它们可以包含带有欺骗登录页面的现成网站:攻击者所要做的就是选择他们想要攻击的服务.

钓鱼工具可以大大降低网络犯罪的门槛. 用户几乎不需要任何技术技能就能完成他们自己的网络钓鱼攻击, 只要他们有钱买钓鱼工具就行. 一些人甚至在网络犯罪论坛上请求“雇佣黑客”来帮助建立钓鱼网页.

利用post从用户寻找编码器创建钓鱼页面

 图8:利用用户寻找编码器的帖子创建钓鱼页面

 利用帖子从用户希望购买一个钓鱼工具包

图9:利用想购买钓鱼工具的用户发布的帖子

 

网络钓鱼工具可以用相对较少的钱获得. 这些经常被宣传, 要求, 并在网络犯罪论坛上被讨论——这证明了它们的受欢迎程度.

Exploit1上提供的免费网络钓鱼工具

在Exploit2上提供免费的钓鱼工具

图10:在Exploit上提供的免费网络钓鱼工具[.]in

钓鱼邮件的分发:铸造线

在初步确定目标和制作邮件之后, 攻击者需要决定他们的网络钓鱼邮件将以何种方式分发. 毕竟,你不可能像小鱼那样用同样的设备来捕捉马林鱼. 在大多数网络钓鱼案例中,这在很大程度上是一个自动化的过程. 没有人愿意坐下来点击“发送”,收到成千上万封电子邮件. 但即使攻击者只针对一小部分受害者, 他们仍然需要确保他们的电子邮件能够:

  1. 而不是出现在收件人的垃圾邮件收件箱里
  2. 似乎是一个合法的寄件人

无论是通过公共或私人基础设施,电子邮件必须来自某个地方. 每一种都有优点和缺点, 它们的使用在很大程度上取决于钓鱼者目标的性质.

1. 私有的基础设施

许多商业电子邮件妥协(BEC)攻击涉及使用私人受害者的基础设施. BEC依赖于攻击者能够成功地冒充高级雇员. 如果你收到老板的邮件, 如果邮件是由一个未知的第三方电子邮件供应商发送的,而不是从你公司的内部地址发送的,会显得更可疑.

要做到这一点, 攻击者可以欺骗内部电子邮件地址, 破坏网站的邮件服务器, 或者使用以前获得的凭证(如通过另一个钓鱼攻击或公共数据库泄露)破坏电子邮件帐户。. 前两种可能需要深刻的技术理解, 而后者可以依靠目标被成功的网络钓鱼或他们的证书被预先破坏.  

伪造电子邮件地址, 攻击者首先必须妥协, 创建, 或找到一个简单邮件传输协议(SMTP)服务器,允许欺骗的电子邮件被发送. 通过使用不同的发件人地址更改电子邮件信封中的值,然后填充所需的命令和头, 攻击者可以相对轻松地创建欺骗电子邮件.  

尽管这个过程听起来有点复杂, 它比其他一些攻击技术更容易实现. 即使现在许多电子邮件供应商都有集成的功能,让你验证发件人的地址, 电子邮件欺骗仍然存在 广泛用于社会工程运动.

攻击者的另一个选择是破坏公司的基础设施,并使用他们的SMTP服务器来分发钓鱼电子邮件. Those used to send marketing communications can be attractive targets; heavy outgoing message traffic seems less suspicious if it’s coming from a server typically used for marketing.

正如图6中smtpspam关于XSS的建议所指出的那样, 从企业邮件服务器发送电子邮件可以有效地让电子邮件到达受害者的收件箱.  但是,如果没有必要的技术技能,折衷和修改站点的配置是非常耗时的. 技术水平较低的攻击者可以转向网络犯罪论坛和市场购买已经受损的服务器.

就像营销软件(e.g. mareto的, SalesForce)在现实世界中用于跟踪收件箱和投递率, 许多垃圾邮件服务使用类似的美高梅来监控其活动的结果. 这可以帮助攻击者通过跟踪受害者的交互来优化他们的垃圾邮件处理. 原子的电子邮件跟踪, 比如正版软件, 其中被破解的版本经常在网络犯罪市场上以低至2美元的价格出售, 或者在论坛上免费交易.

 原子电子邮件跟踪界面

图11:原子电子邮件跟踪界面

 

2. 公共基础设施

除了在组织的基础设施上妥协或搭顺风车, 攻击者还可以利用公共基础设施(e.g. 电邮供应商)撒网钓鱼. This might be a simpler option for less-technical adversaries; in many cases, 你所需要做的就是注册一个免费帐户, 当然, 提供商发现了你的恶意行为.  

问题是,许多主要的电子邮件提供商(比如Gmail和Outlook)很难创建带有明确意图的账户来进行垃圾邮件或网络钓鱼. 甚至帐户创建级别的块, 例如要求多因素认证(MFA)的有效, non-burner电话号码, 足以抵御许多潜在的袭击者吗. 但并不是所有的电子邮件供应商都是一样的, 还有一些使创建网络钓鱼的电子邮件账户变得更加容易, 特别是在那些与执法部门合作不太理想的国家.

使用合法电子邮件供应商的好处之一是,某些过滤器可能不太可能将邮件识别为垃圾邮件. 向受害者的普通收件箱发送钓鱼邮件, 而不是垃圾邮件文件夹, 能改变一切吗. MailNinja是一个使用公共基础设施的垃圾邮件服务的例子。.]ru, 它的运营商声称,它可以让垃圾邮件以98%的成功率进入普通收件箱(与垃圾邮件相反).

MailNinja在XSS上的垃圾邮件服务广告

图12:MailNinja在XSS上的垃圾邮件服务广告

3. 僵尸网络攻击

啊,僵尸网络,互联网的祸害. 由大量被感染的设备组成(想想几十个), 如果不是几十万的话), 它们可以被用来促进广泛的恶意活动:分布式拒绝服务(DDoS)攻击, 数据失窃, 间谍活动, 是的, 甚至是垃圾邮件和网络钓鱼.

他们的力量在于数量. 一个由数十万台设备组成的互联网络所能实现的目标,比任何一台设备单独实现的目标都要多. 通过电子邮件垃圾邮件数据库的帮助, 攻击者可以将网络钓鱼邮件直接发送给大量潜在的受害者.  

僵尸网络还帮助攻击者绕过IP地址黑名单. 当可疑服务器被识别出来后,它们就会被列入公开的黑名单,由像 Spamhaus. 有人通过自己的基础设施分发垃圾邮件网络钓鱼邮件,他们的服务器可能会被列入黑名单. 但如果发现僵尸网络活动, 被感染设备的服务器反而会被列入黑名单. 当你有来自成千上万个独立设备的流量时, 一些被识别和阻止不会显著影响您的垃圾邮件分发.  机器人星球大战的钓鱼笑话

 

一个设备要成为僵尸网络的一部分,它通常必须被恶意软件感染. 如果你知道美高梅集团app下载要做什么, 钓鱼甚至可以被用来分发僵尸网络恶意软件, 造成了网络钓鱼的周期性, 创造出更危险的设备.  

继续循环.

在某些情况下,这些僵尸网络可以像其他作为服务的平台一样直接变现. 雇佣僵尸网络为网络罪犯提供了额外的收入来源, 这可能是网络钓鱼活动背后的主要动机之一. 根据 尺寸和类型 的僵尸网络,运营商都能做到 数十万美元 按“每次使用”将租赁服务货币化的年收入。.

从寻找僵尸网络合作伙伴的Exploit用户发布

图13:寻找僵尸网络伙伴的Exploit用户发布的帖子

4. 邮件列表

说到垃圾邮件列表, 这些已经成为犯罪市场和论坛上的常见场所, 被恶意交易和出售(如网络钓鱼攻击). 例如, 在著名的道德问题论坛BlackHatWorld上, 用户经常讨论如何实施某些类型的攻击,甚至如何利用他们的非法收益牟利. 例如,请参见下面的图14和15.BlackHatWorld上关于电子邮件列表盈利的讨论

在BlackHatWorld上关于电子邮件列表盈利的讨论

图14:BlackHatWorld关于电子邮件列表盈利的讨论

 关于BlackHatWorld如何通过电子邮件列表盈利的讨论

图15:关于BlackHatWorld如何从高知名度邮件列表中盈利的讨论.

 

多么有用! 在这一点上, 攻击者可以自己运行操作, 找一个犯罪的伙伴, 或者干脆卖掉他们的邮件列表,就此了结.

在下面的图16中, 根据潜在受害者的情况,这些名单的定价更有价值. 一个宽泛的垃圾邮件列表可能比一个高度针对性的列表更便宜.

1000万个有效电子邮件联系人的广告,收费12美元.99

19岁的“英国富豪”有15万.99

图16:顶部:1000万个有效电子邮件联系人的广告,售价12美元.99
下图:15万名“英国富人”的广告,排名第19.99

攻击者如何从钓鱼攻击中获取数据:陷入圈套

诱饵已经选好了,钓线已经放好了,攻击者在鱼钩上有了一个目标. 现在,如何钓到奖品?

1.网络钓鱼页面

就像可敬的绝地大师奎刚·金曾经说过的:“总有更大的鱼。”. 网络钓鱼攻击不会以电子邮件被打开而结束:网络钓鱼要成功, 攻击者必须哄骗受害者说出信息. 有几种获取数据的方法,其中钓鱼页面是最常见的一种.

总是一个更大的网络钓鱼 

一种流行的技术是,攻击者建立一个非法网站,欺骗他们用作网络钓鱼诱饵的公司. 在大多数情况下, 这些甚至不需要太复杂:在很多情况下, 一个简单的登录页面就足够了.

例如, 攻击者可以在子域(e.g. 登录.digitleshadows [.com). 然后,该URL可以嵌入到钓鱼电子邮件中,并分发给潜在的受害者. 一旦收件人单击链接,他们就会被导向欺骗的登录页面. 在被欺骗的页面上输入的任何凭据都被存储并窃取到攻击者控制的服务器. 以免引起怀疑, 许多钓鱼网页还被配置为在用户输入凭据后将其重定向到该公司的合法网站.

假冒的马士基登录门户

图17:假冒的马士基登录门户

Psssst! 美高梅集团app下载帮助监控客户的网络钓鱼页面. 有兴趣看看?
请与美高梅集团app下载的团队在这里申请一个现场演示.

 

Credential harvesting techniques aren’t the only trap you might find on a phishing page; malware can frequently be found lurking in a page’s background―whether a drive-by download being delivered by an exploit kit hosted on the page, 或者提示下载一个看起来好得令人难以置信的“免费应用程序”.

直接克隆网站也是一种受网络钓鱼爱好者欢迎的技术, 并且需要很少的技术技能来启动和运行. 开源渗透测试软件Metasploit中有一些模块可以直接复制网页, 和其他工具都是由Kickass论坛的用户推荐的. XDAN CopySite是一个服务,它允许用户输入他们选择的领域,并通过在几秒钟内生成该领域上托管的页面的HTML文件来生成网页的静态版本.

URL链接到XDAN复制站点共享论坛和消息应用程序图18:跨论坛和消息应用程序共享XDAN Copy Site的URL链接

 

还有一些最初设计用于渗透测试的开源工具已被用于网络钓鱼攻击. Modlishka例如,可以帮助自动化钓鱼攻击和绕过MFA. The tool facilitates a kind of man-in-the-middle (MITM) attack by intercepting traffic 而且 acting as a reverse proxy; once the victim enters their credentials for whatever service the attacker is imitating, 然后他们被引导到合法的服务.

服务请求的任何MFA令牌也可以被攻击者实时拦截, 允许他们登录并创建“合法”会话. 受害者的信息可以在不引起任何怀疑的情况下被收集. Modlishka isn’t the only tool around that can make life easier for the phisher; such open-source tools as Evilginx 2 功能类似.

从XSS用户的帖子请求帮助Evilginx 2和Modlishka

图19:一名XSS用户发帖请求帮助《Evilginx 2》和Modlishka

2. 恶意软件

当然,钓鱼网站链接并不是钓鱼邮件中唯一传递的东西. 各种形状和大小的恶意软件——包括勒索软件, 凭据矿车, 远程访问木马(rat病毒)——都是通过网络钓鱼邮件发送的, 通常在电子邮件附件中, 比如微软的Word文档或Adobe的PDF文件. 

恶意软件可以从计算机中窃取各种各样的东西, 包括凭证, 文档, 和系统资源. 证书收集是流行恶意软件的一个常见特性,因为它为攻击者提供了数据,可以通过欺诈轻松地转化为他们口袋里的钱(这个话题美高梅集团app下载将在下文中讨论)。.

TrickBot

的一个例子 凭据偷窃者 is “TrickBot”, 这是一种银行木马,于2016年9月首次被检测到,之后被开发出来,以多个地区和在线服务为目标. 其目的是在未经授权的情况下访问客户的银行账户,为欺诈交易提供便利, 但它也瞄准了在线服务的用户, 比如SalesForce和加密货币服务.

据报道,TrickBot是通过含有恶意附件的垃圾邮件发送的, 包括“Necurs”僵尸网络发布的一些, 并通过“RIG”开发工具. 在某些情况下, 欺骗机器人使用一个名为“永恒之蓝”的漏洞(影响CVE-2017-0144)或Windows API调用在本地网络中传播.

据报道,“骗局机器人”的功能和活动与银行木马“Dyre”非常相似, 研究人员发现了其中的联系:至少有一名Dyre的开发者参与了TrickBot的开发. 广泛瞄准和快速, 持续的开发意味着该恶意软件在编写时的威胁级别为中等.

 FormBook


一个 信息偷窃者 是FormBook, 从2016年初开始在论坛和市场上出售的是什么, 使各种威胁行动者能够进行攻击. FormBook在针对航空航天的活动中被识别出来, 国防, 以及2017年7月至9月美国和韩国的制造业. 它的功能包括记录击键、捕获凭证和截图. 它还可以执行额外的文件,包括恶意载荷. 恶意软件的分销商停止了在HackForums[论坛]上的销售。.在使用恶意软件的电子邮件活动后,于2017年10月5日在网上.

还有 僵尸网络招聘人员:获取受害者资源的一种特别不正当的方式. 那些拥有丰富系统资源的受害者——比如英特尔的新酷睿i512处理器,它有tb的ram和6张SLI显卡,可以处理最新的《使命召唤》——如果这些资源比正常情况高出1%,他们可能不会三思. 没什么大不了的,对吧?  

错误,原因有很多. 他们从第三方网站下载用来运行显卡的驱动程序其实是恶意软件, 旨在将他们的系统纳入更大的系统池, 被攻击者控制. 这个机器人网络可以进行DoS攻击, 我cryptocurrency, 并通过你的网络隐藏自己的恶意流量.

“Satori”是“Mirai”恶意软件的变种,被用于破坏物联网(IOT)设备,使其成为僵尸网络. 到目前为止,已经检测到三种恶意软件的变种. 它被称为“可蠕虫”,因为它利用漏洞攻击目标物联网设备, 而不是依赖于扫描仪在感染后识别额外的目标.

开悟利用poc

2017年12月底,一个未知的威胁行为者泄露了一个satori控制的漏洞的概念源代码证明. 到目前为止, 僵尸网络还没有被用来进行恶意活动, 它可能还处于早期建设阶段. 它有可能被用于DoS攻击, 分发垃圾邮件, 并进行信息收集活动. 在等待该僵尸网络进一步活动之前,它在撰写本文时造成的威胁很低.

 

3. 社会工程

钓鱼网页和恶意软件都可以被检测和阻止, 但直接的社会工程更难发现. 对前两种威胁的探测依赖于指向特定威胁的技术指标, 哪些可以自动缓解, 例如, 垃圾邮件拦截器或恶意软件扫描器. 社会工程依赖于对操作设备的人类的攻击.

BEC攻击是一种非常常见的社会工程类型, 通常设计用于对抗特定的目标. 美高梅集团app下载已经围绕这一技术做了大量的研究, 与威胁行为体进行人工智能交互以确定方法. BEC本质上依赖于欺骗策略, 折衷或欺骗的电子邮件帐户, 例如, 公司高管诱使低级员工泄露资金或敏感文件, 如图20和21所示.

 一个典型的BEC考试的例子

图20:一个典型的BEC考试

BEC考试范例2

图21:一个典型的BEC考试

 

这种网络钓鱼邮件必须是令人信服的和现实的. 来自某人CEO的电子邮件, 要求他们立即转账,但在一条充满语法错误的信息中,几乎肯定会引起危险. 这就是为什么一些BEC攻击会涉及大量的侦察,以弄清楚某个特定的人是如何写作的.

当然,BEC并不是唯一一种通过网络钓鱼邮件进行的社交工程. 让美高梅集团app下载看看勒索美高梅集团app下载的另一个研究课题(见美高梅集团app下载的报告), 勒索暴露:性勒索, thedarkoverlord, 和气泡) 具体来说,是一种被称为性勒索的类型. 2018年下半年, 美高梅集团app下载公司收集了有关这些活动的信息, 比如他们有多广泛,赚了多少钱.

性勒索统计数据的细分 图22:性勒索统计的细分

89,000个接受者和332美元,000年以后, 事实证明,性勒索在网络犯罪领域是一个巨大的打击. 这种勒索使用了先前建立的方法,即折磨受害者的良心,并敦促他们迅速作出反应, 但是增加了另一个, 邪恶的角. 钓鱼电子邮件发送者声称有关于收件人的危害信息, 比如色情网站的敏感账户信息甚至是他们访问这些网站的视频.

兑现网络钓鱼攻击:收集奖励

钓鱼最明显的方面是渔获. 这就是新闻中所有名声和荣耀的来源, 上面有渔民站在他们的1,000磅的马林, 吊在码头上. 没人想看到空船, 疲惫的渔民和空空的鱼线, 或者看着他们在商店里买诱饵. 对普通大众来说,这是一个陷阱.

网络钓鱼也是如此. 这是过去几年最引人注目的入侵之一, 安塞姆医疗数据泄露事件, 直接源于对公司的鱼叉式攻击. 根据一项 2019年5月被起诉 被指控的袭击者, 大量数据被盗, 包括个人身份信息(PII)和机密商业信息, 是由钓鱼邮件和恶意软件感染引起的吗.

国歌网络漏洞

 

这在当时是件大事,但这只是一次攻击,一个漏洞,一个公司. 从更高的层次来看,攻击者在进行网络钓鱼时有各种各样的目标.

让美高梅集团app下载以通过钓鱼攻击窃取的PII为例. 在暗网中,PII的形状和大小各不相同, 有卖fullz的小贩, 或完整的个人记录, 或特定项目, 如护照信息, 以及两者之间的一切. 这些数据可以通过美高梅集团app下载上面列出的任何方法被窃取information-stealing恶意软件, 旨在收集信息的钓鱼网页, 或者直接与受害者通信——但攻击者当然不限于这些方法.

攻击者可以采用几种不同的路径来获取受害者的PII:

  • 直接身份欺诈这是, 利用受害人已有资产进行身份诈骗, 像银行账户是一个持续多年的问题吗. 2019年的一项研究, 标枪研究公司强调,尽管在2017年至2018年期间,受害者的数量有所下降, 从16.700万到14万.400万年, the financial effects were more harsh on its victims; 23% of fraud victims had expenses that didn’t get reimbursed after paying out to fraudsters, 比去年有所增加.
  • 新账户欺诈, 攻击者使用非法获得的PII来创建新的资产, 比如信用卡或抵押贷款, 受害者不知道的, 造成损失3美元.2018年40亿.
  • PII可以 在暗网论坛上转售,如上所述. 价格通常取决于包中包含的数据量, 记录的数量, 以及数据的新鲜程度.
  • 促进进一步的恐怖袭击 对于所有类型的数据还有其他选择吗. PII可以用来发送勒索邮件进行勒索,甚至可以用来进行账户接管.

目标分解为各种类型的网络钓鱼攻击

图23:各种类型的钓鱼攻击的目标分解

 

很明显, PII并不是从网络钓鱼攻击中窃取的唯一东西:请输入图23中可爱的图表! 把它读成“PII可以用来直接进行身份欺诈以获取利润”或“通过商业间谍窃取的凭证可以用来启动新的攻击周期”.

  

5个减少网络钓鱼的技巧

网络钓鱼执照否认!

“菲什,”他说,“我非常爱你,非常尊敬你。. 但今天结束前我会杀了你.”
——海明威 老人与海,由美高梅集团app下载安全工程师查尔斯·拉格兰(Charles Ragl而且)改编

美高梅集团app下载所描述的所有方法和结果都可以从第一封钓鱼邮件开始. 是不是拼错了, 格式不佳的邮件或精心制作和仔细研究的假冒邮件, 衍生途径是无数的. 这就是为什么网络钓鱼即使不是最普遍的攻击技术,也是最普遍的攻击技术之一.

尽管如此,还没有万无一失的灵丹妙药可以减轻网络钓鱼的威胁. 美高梅集团app下载以前说过(还有很多人说过), 许多其他的),美高梅集团app下载会再次输入:如果有人解决了网络钓鱼问题, 99%的网络攻击将被缓解. 这可能有点夸张,但你明白我的意思.

但美高梅集团app下载活在当下,所以光子研究小组已经 减少网络钓鱼的策略很少 这可以帮助大大小小的公司.

  1. 限制 你的组织和员工在网上分享的信息,包括在社交媒体网站上. 最成功的网络钓鱼者会进行详细的侦察,这样他们就可以制作出最有效的电子邮件和社交工程诱饵.
  2. 监控 用于注册被输入错误占用的域名,攻击者可以使用这些域名冒充您的品牌, 发送欺诈邮件, 和主机钓鱼网页.
  3. 实现 额外的安全措施, 如发送方策略框架(SPF), 域消息认证报告和一致性(DMARC), 和DomainKeys Identified Mail (DKIM). 这些会使您的域的欺骗更加困难. 请参阅美高梅集团app下载的详细资料 打击电子邮件欺骗风险的从业人员指南.
  4. 保护 你的帐户,以防网络钓鱼者设法窃取用户凭证. 双因素身份验证 度量应该在整个组织中强制执行,并尽可能地实施.
  5. 火车 你的员工如何发现钓鱼邮件和, 更重要的是, 给他们一个清晰和公认的报告方法,提醒保安团队怀疑有网络钓鱼企图. 最终,一封钓鱼电子邮件会从网上掉下来. 员工需要知道如何快速应对这些问题,不应该害怕成为社会工程攻击的受害者的任何后果.

感谢大家继续收看本期深度网络钓鱼节目! 如果您想了解更多关于美高梅集团app下载如何帮助您的组织,请查看美高梅集团app下载的 网络钓鱼保护页面 或请求下面的演示.

 

相关的博客文章

“寻找渗透测试者”:论坛生活如何符合勒索软件禁令

“寻找渗透测试者”:论坛生活如何符合勒索软件禁令

2022年8月31日 | 10 分钟阅读

2021年5月中旬,XSS和...
ReliaQuest和美高梅集团app下载 -下一阶段的旅程

ReliaQuest和美高梅集团app下载 -下一阶段的旅程

2022年8月3日 | 3 分钟阅读

美高梅集团app下载很高兴地宣布这次收购...
哭诉勒索软件的男孩:勒索软件集团的可信度

哭诉勒索软件的男孩:勒索软件集团的可信度

2022年8月2日, | 8 分钟阅读

从数据泄露到群体分裂...
友情链接: 1 2 3 4 5 6 7 8 9 10