最新的网络安全新闻与俄罗斯入侵乌克兰有关
一般的网络安全 / 网络安全意识月:第二周-打击网络钓鱼!

网络安全意识月:第二周-打击网络钓鱼!

网络安全意识月:第二周-打击网络钓鱼!
金布罗姆利
金姆·布罗姆利报道
2021年10月13日 | 9 分钟阅读

欢迎来到以“国家网络安全意识月”为主题的博客“美高梅集团app下载”的第二部分! 你可以回去读一下上周关于 如何保护你的数字影子, 但这周的博客都是关于网络钓鱼的. 运气好的话, 我不需要提醒你什么是网络钓鱼, 但如果你需要回顾一下, 看看美高梅集团app下载之前的钓鱼博客; 网络钓鱼的生态系统:从小鱼到马林鱼反网络钓鱼. 那么我为什么要写这个博客呢? 为了揭示一些不太为人所知的网络钓鱼策略. 我之所以选择这些,是因为即使作为一个经验丰富的网络分析师,它们对我来说仍然有点神秘. 希望, 了解更多网络罪犯使用的不同策略,将使你更好地装备与网络钓鱼!

电子邮件劫持

网络钓鱼仍然是网络威胁行动者最流行的初始访问方法之一. 在英国周围 一半的网络攻击涉及网络钓鱼. 网络钓鱼攻击的成功依赖于社会工程——利用防御链中的薄弱环节.

典型的网络钓鱼邮件会试图欺骗合法的发送者, 欺骗收件人,让他们误以为邮件背后的威胁是别人. 然而, 更复杂的活动还包括劫持合法的电子邮件链, 在正在进行的对话中插入一封钓鱼邮件.

这些攻击, 这就是所谓的电子邮件劫持, 几乎总是从接管受害者的电子邮件账户开始吗, 无论是通过窃取和重用证书,还是通过暴力破解. 一旦控制了受害者的电子邮件账户, 威胁参与者可以监视对话,并确定将恶意电子邮件插入现有线程的理想时机. 通过给他们提供整个邮件线程, 威胁行动者可以调整他们的恶意邮件,以适应任何环境. 虽然这对于威胁行动者来说需要更多的劳动,但它也会带来更高的回报. 这种策略利用了双方在电子邮件交换中已经建立的信任,增加了收件人打开恶意附件或点击不良链接的机会. 如果美高梅集团app下载过去三天一直在讨论可爱的小狗, 我为什么不点击你发给我的链接看更多可爱的小狗呢?!

但, 当实际账户所有者收到一封他们从未发送过的电子邮件的“回复”时,威胁参与者如何阻止他们产生怀疑? 攻击者会将电子邮件回复到一个真正的邮件所有者通常不会进入的文件夹. Gmail的用户,你有没有看过“小睡”文件夹? 或者,攻击者可以设置自动转发规则,将邮件发送到完全不同的收件箱. 威胁参与者还可以为“网络钓鱼”或“黑客”等短语创建自动检测规则.所以,即使有人试图在你的电子邮件中提醒你可能的妥协, 消息将被自动删除. 有很多威胁演员的方法来阻止任何人的蜘蛛侠感觉.

来自Emotet僵尸网络的一封被劫持的电子邮件(来源:Palo Alto Networks)
来自Emotet僵尸网络的一封被劫持的电子邮件(来源:Palo Alto Networks)

这些被劫持的电子邮件通常很难被发现. 常见的警告信号——糟糕的拼写,糟糕的语法,没有个性化——并不存在. 这一策略已被用于恶意软件的交付,如“Emotet”和“Ursnif成功的过去. 当某些事情看起来有点不寻常时,需要格外努力的证据. 和肯定, 在与银行点击红色的发送按钮之前,通过不同的沟通方式检查大额金融交易.

外部报警功能!

下一个策略看起来很明显,但我从来没有真正想过,直到最近我的网络生活. 我想一定还有其他人和我处境相同, 所以现在让美高梅集团app下载看看为什么网络威胁者可能会收集你的“不在办公室”回复.

美高梅集团app下载都知道在假期前设置“不在办公室”自动回复邮件的感觉有多好. 但是,“不在办公室”不仅仅是让你的同事嫉妒. 它还让攻击者知道电子邮件地址是有效的. 典型的网络钓鱼活动采用的是“散弹枪”的方式. 威胁行动者将向数百人发送相同的电子邮件, 或数千, 的电子邮件地址,并希望一些互动. 收到“不在办公室”的消息为威胁行动者提供了一个很好的起点. 威胁行动者可以将这种散弹枪方法应用于组织中的每个人,并收集他们收到的自动回复. 视这些答复所载资料而定, 威胁行动者可以开始拼凑出谁与谁合作, 谁更重要, 最重要的是, 竞选开始时,谁不在办公室.

你通常会在“不在办公室”的回复中包含哪些信息? 你在哪里? 你要去多久? 你不在的时候该联系谁? 这听起来是不是很熟悉? 一个不在办公室的回复可以为任何威胁参与者提供丰富的信息. 您的电子邮件签名会告诉攻击者您的角色、部门,甚至您的电话号码. 您的替代联系人告诉攻击者您与谁密切合作, 潜在的, 他们的电子邮件地址. 如果你太爱分享, 你的自动回复甚至可能会告诉威胁者你在世界的哪个地方,你要离开办公室多长时间. 

这些信息有助于威胁行为者创建一个更有针对性的网络钓鱼电子邮件,并增加他们收到该电子邮件积极互动的机会. 在你的自动回复中,你列出的联系人将会等待给你的邮件, 因此, 也许你更相信一个假装是你客户的恐吓演员的冷酷手段. 还有关于“你”有多享受你的假期的信息, 假设, 安提瓜岛, 那么他们的成功率可能会直线上升. 

我的建议? 如果你通常不与外部客户或供应商合作, 然后将你的“不在办公室”回复设置为只给内部收件人. 或者干脆不回复邮件. 你可以使用公司的即时通讯平台或群组日历,让你的同事知道你正在休假. 如果你的“不在办公室”回复必须是外部的, 然后确保尽可能多地删除其中的信息. 尽你所能.

基础设施盗窃

本博客最后要强调的策略是,威胁行为者如何利用窃取的基础设施来推进他们的网络钓鱼活动. 这并不是“钓鱼者”独有的,但仍然是一个流行的策略. 一定要查看美高梅集团app下载的 冒充域名 研究论文,如果你愿意的话!

而不是窃取基础设施, “排字抢注”确实会窃取一个组织的品牌和声誉,以进一步开展网络威胁活动. “域名误拼”是指威胁者在注册域名时故意拼错知名网站的名称. The changes can be very subtle; they can trick even the savviest internet users. 例如:

  • Typo-squatted域:digitaIshadows (.请勿访问本网站
  • 合法的领域:digitalshadows [.(访问这个)

你能看出区别吗? 威胁行动者使用这种策略来引诱毫无戒心的访问者访问他们认为安全的其他网站. 然而,访问者实际上是在访问由攻击者控制的基础设施. 

现在来看看什么时候威胁行动者会窃取毫无戒心的组织使用的合法基础设施. 威胁行动者有两种主要的方式来做到这一点. 首先,他们可能会损害注册商的利益. 当注册商被黑, 使用该注册商注册的所有域都可以由威胁参与者处理. 他们可能使用这个控件将域指向他们的基础设施:毫无戒心的网站访问者将在浏览器中输入合法的域名, 但是在点击回车键时, 访问者最终停留在攻击者控制的基础设施上,而不是最初的域上. 另外, 威胁行动者可以完全转移域的所有权, 不需要重定向. 因为DNS更新有延迟, 可能几个小时后才有人注意到有问题. 

威胁行动者可以使用的另一种策略被称为域名劫持. 这涉及威胁参与者获得对组织域的未经授权访问. 访问可能通过证书填充或利用网站中的跨站ss漏洞实现. 威胁参与者可以使域脱机或将所有权转移给自己. 再一次, 任何访问此域名的合法用户都不会知道该域名现在处于威胁行动者的控制之下,而会信任该域名, 现在的恶意, 中包含的链接. Domain hijacking might also be used to gather the information of these visitors; they may need to log in to view portions of the website or enter their personal information to update their contact preferences. 这种策略也可以用来向实际的域名所有者勒索钱财, 但那是一个完全不同的博客!

缓解建议和结论

这些策略的共同点是,他们都是设计来引诱毫无防备的互联网用户与钓鱼电子邮件或网站互动. 威胁行动者不断改进和改进他们的战术, 技术, 和程序, 想出更狡猾的方法来欺骗他们的受害者. 为减轻网络钓鱼的危害,美高梅集团app下载提供以下建议:

  1. 限制公司和员工在网上分享的信息,包括在社交媒体网站上. 最成功的钓鱼者执行详细的侦察来制作最有效的电子邮件和社会工程诱饵.
  2. 监视可能被攻击者用来冒充您的品牌的错误占用域名的注册, 发送欺诈邮件, 并且托管钓鱼页面.
  3. 实施额外的保安措施, 如发送方策略框架(SPF), 域消息认证报告与一致性(DMARC), 和domainkey识别邮件(DKIM). 这些可以使欺骗您的域名更困难. 请参阅美高梅集团app下载的详细资料 打击电子邮件欺骗风险的专家指南.
  4. 保护你的账户,以防网络钓鱼者窃取用户证书. 双因素身份验证 应该在整个组织中强制执行度量,并在可能的情况下实施.
  5. 训练你的员工识别钓鱼邮件, 更重要的是, 给他们一个清晰和公认的报告方法,以提醒安全团队的怀疑网络钓鱼企图. 最终,一封钓鱼邮件将落入网络. 员工需要知道如何快速应对这些问题,不应该害怕成为社会工程攻击的受害者的任何后果.

如果你对Searchlight的威胁情报如何保护你免受网络钓鱼感兴趣的话, 为什么不选一个 七天的试驾 或者报名参加一个 演示.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

标签: /
友情链接: 1 2 3 4 5 6 7 8 9 10