【編者按】當(dāng)今社會(huì)要警惕迅速出現(xiàn)的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)罪犯正在改變其攻擊技術(shù)，使用一系列新的策略來(lái)提高成功率。從COVID-19相關(guān)的網(wǎng)絡(luò)釣魚(yú)和基于表單的攻擊，到IoT惡意軟件和對(duì)話(huà)劫持，網(wǎng)絡(luò)犯罪分子繼續(xù)演變威脅格局，隨著網(wǎng)絡(luò)犯罪分子不斷改進(jìn)方法，攻擊變得越來(lái)越有針對(duì)性、復(fù)雜，而且代價(jià)也越來(lái)越高。與攻擊相關(guān)的成本和損害可能是極端的。這對(duì)財(cái)務(wù)造成了廣泛的影響，包括業(yè)務(wù)中斷、生產(chǎn)率降低、數(shù)據(jù)丟失、監(jiān)管罰款和品牌受損。商務(wù)電子郵件泄露攻擊只占所有網(wǎng)絡(luò)攻擊的一小部分，近年來(lái)給全球組織造成了數(shù)十億美元的損失。Barracuda分析了過(guò)去12個(gè)月的專(zhuān)項(xiàng)研究，提供了對(duì)最大潛在網(wǎng)絡(luò)安全威脅的展望，以及企業(yè)可以用來(lái)幫助防御這些威脅的有效解決方案。

　　許多攻擊旨在規(guī)避傳統(tǒng)的電子郵件安全，包括網(wǎng)關(guān)和垃圾郵件過(guò)濾器。攻擊通常來(lái)自信譽(yù)度高的域或已經(jīng)受損的電子郵件賬戶(hù)。攻擊通常使用欺騙技術(shù)，包括“零日”鏈接、以前攻擊中未使用的域上托管的URL或已插入被劫持合法網(wǎng)站的URL等。

　　一、頭號(hào)威脅：網(wǎng)絡(luò)釣魚(yú)攻擊

　　魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、與冠狀病毒有關(guān)的網(wǎng)絡(luò)釣魚(yú)以及與之相關(guān)的網(wǎng)絡(luò)釣魚(yú)攻擊，不會(huì)在短期內(nèi)消失。網(wǎng)絡(luò)釣魚(yú)仍然是一個(gè)持續(xù)的威脅，并且攻擊也在不斷演變。

　　釣魚(yú)郵件被隨機(jī)發(fā)送給大量的收件人，預(yù)計(jì)只有一小部分人會(huì)回復(fù)。舉個(gè)例子：一封來(lái)自知名快遞公司的官方郵件說(shuō)你的包裹被延遲了，并告訴你點(diǎn)擊鏈接獲取更多細(xì)節(jié)。如果你點(diǎn)擊這個(gè)鏈接，惡意軟件就會(huì)被下載到你的設(shè)備上。這個(gè)鏈接也可能指向一個(gè)虛假的網(wǎng)站，在那里你被要求輸入你的姓名、地址和社會(huì)保險(xiǎn)號(hào)碼。這些信息將在暗網(wǎng)上出售，被用于身份欺詐和其他犯罪。

　　另一方面，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊非常個(gè)性化。網(wǎng)絡(luò)犯罪分子研究他們的目標(biāo)，并經(jīng)常冒充一個(gè)值得信賴(lài)的同事、網(wǎng)站或企業(yè)。魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件通常試圖竊取敏感信息，如登錄憑據(jù)或財(cái)務(wù)信息。例如，有時(shí)騙子冒充企業(yè)、學(xué)?；蚱渌M織的員工，索取財(cái)務(wù)或個(gè)人信息。

　　1.1網(wǎng)絡(luò)釣魚(yú)引誘賬戶(hù)接管受害者

　　Barracuda和加州大學(xué)伯克利分校的研究人員對(duì)電子郵件賬戶(hù)的接管、攻擊的時(shí)間線(xiàn)、黑客試圖逃避檢測(cè)的行為以及識(shí)別可疑活動(dòng)的方法進(jìn)行了大規(guī)模分析。

　　為了實(shí)施賬戶(hù)接管攻擊，攻擊者利用品牌冒充、社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)來(lái)竊取登錄憑證和訪(fǎng)問(wèn)賬戶(hù)。一旦賬戶(hù)被攻破，黑客就會(huì)監(jiān)控和跟蹤活動(dòng)，以了解公司是如何開(kāi)展業(yè)務(wù)的，包括公司使用的電子郵件簽名，以及金融交易的處理方式，這樣黑客就可以發(fā)動(dòng)成功的攻擊，包括獲取其他賬戶(hù)的額外登錄憑據(jù)。

　　研究人員指出，攻擊是在一段時(shí)間內(nèi)蔓延的；它們并不總是在賬戶(hù)被攻破后立即發(fā)生。攻擊者在地理位置上也變得越來(lái)越聰明；他們發(fā)送釣魚(yú)電子郵件，并從與被黑客賬戶(hù)的類(lèi)似地區(qū)和國(guó)家相關(guān)的IP地址執(zhí)行其他操作。IP地址和ISP提供了重要線(xiàn)索；攻擊者傾向于使用屬于ISP的匿名IP，而這些IP不同于被黑客攻擊的賬戶(hù)的提供商。對(duì)于網(wǎng)絡(luò)罪犯來(lái)說(shuō)，接管賬戶(hù)并獲得對(duì)組織及其數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限可以帶來(lái)豐厚的回報(bào)。

　　攻擊者還利用會(huì)話(huà)劫持竊取金錢(qián)和敏感個(gè)人信息。根據(jù)他們從泄露的電子郵件賬戶(hù)或其他來(lái)源收集到的信息，攻擊者將自己插入現(xiàn)有的商業(yè)對(duì)話(huà)或發(fā)起新的對(duì)話(huà)。利用泄露賬戶(hù)中的信息，包括員工、合作伙伴和客戶(hù)之間的內(nèi)部和外部對(duì)話(huà)，制作令人信服的消息，并從模擬的電子郵件域發(fā)送這些消息，誘騙受害者匯錢(qián)或提供個(gè)人信息。

　　Barracuda的研究人員發(fā)現(xiàn)，近幾個(gè)月來(lái)，用于促進(jìn)對(duì)話(huà)劫持的領(lǐng)域模擬攻擊急劇上升。對(duì)每月約50萬(wàn)次電子郵件攻擊的分析顯示，用于會(huì)話(huà)劫持的假冒域名攻擊增加了400%。雖然與其他類(lèi)型的網(wǎng)絡(luò)釣魚(yú)攻擊相比，在冒充域攻擊中使用會(huì)話(huà)劫持的頻率非常低，但這些復(fù)雜的攻擊都是非常個(gè)性化的，因此它們非常有效、很難檢測(cè)到，而且代價(jià)高昂。

　　1.2利用冠狀病毒為主題的釣魚(yú)攻擊

　　在全世界都在應(yīng)對(duì)冠狀病毒之時(shí)，各種釣魚(yú)活動(dòng)正利用人們對(duì)COVID-19的高度關(guān)注，散布惡意軟件、竊取憑證、騙取用戶(hù)錢(qián)財(cái)。這些攻擊使用常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)策略，但越來(lái)越多的活動(dòng)正利用冠狀病毒作為誘餌，并利用潛在受害者的恐懼和不確定性。早些時(shí)候，攻擊者冒充世界衛(wèi)生組織官員發(fā)送電子郵件，聲稱(chēng)出售口罩或冠狀病毒療法。現(xiàn)在，攻擊者更多地關(guān)注使用關(guān)于疫苗可用性的虛假更新來(lái)欺騙人們。

　　Barracuda研究人員確定了使用COVID-19主題的三種主要類(lèi)型的網(wǎng)絡(luò)釣魚(yú)攻擊：欺詐、品牌冒充和商務(wù)電子郵件泄露。以冠狀病毒為誘餌的網(wǎng)絡(luò)釣魚(yú)攻擊變得更加復(fù)雜，大量敲詐攻擊也層出不窮。

　　魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是一種針對(duì)特定組織或個(gè)人的高度個(gè)性化的網(wǎng)絡(luò)釣魚(yú)攻擊，網(wǎng)絡(luò)犯罪分子正利用它攻擊包括教育在內(nèi)的各種不同行業(yè)。

　　Barracuda研究人員評(píng)估了350多萬(wàn)個(gè)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，包括針對(duì)1000多所學(xué)校、學(xué)院和大學(xué)的攻擊。研究人員發(fā)現(xiàn)，教育機(jī)構(gòu)比其他機(jī)構(gòu)更容易成為商務(wù)郵件泄露（BEC）攻擊的目標(biāo)。事實(shí)上，超過(guò)25%的針對(duì)教育行業(yè)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊都是精心策劃的BEC攻擊。泄露的賬戶(hù)隨后被用來(lái)發(fā)起后續(xù)攻擊并泄露其他賬戶(hù)。

　　隨著解決方案的演變，攻擊者也在改變策略，試圖逃避檢測(cè)。網(wǎng)絡(luò)犯罪分子創(chuàng)建具有合法服務(wù)的電子郵件賬戶(hù)，并利用它們進(jìn)行冒充和BEC攻擊。他們寫(xiě)有針對(duì)性的郵件，在大多數(shù)情況下，只使用這些電子郵件賬戶(hù)幾次，以避免被電子郵件服務(wù)提供商發(fā)現(xiàn)或屏蔽。

　　在品牌冒充攻擊中，攻擊者利用文件、內(nèi)容共享或其他網(wǎng)站誘騙受害者共享登錄憑據(jù)。這種高度專(zhuān)業(yè)化的攻擊很難檢測(cè)到，因?yàn)榘l(fā)起攻擊的網(wǎng)絡(luò)釣魚(yú)電子郵件通常包含指向合法網(wǎng)站的鏈接，例如docs.google.com或者sway.office.com.

　　二、最大威脅：惡意軟件攻擊

　　網(wǎng)絡(luò)犯罪分子持續(xù)使用惡意軟件發(fā)動(dòng)各種攻擊。惡意軟件攻擊是復(fù)雜的、分層的，而且還在不斷演變。大多數(shù)惡意軟件都以垃圾郵件的形式被廣泛發(fā)送到電子郵件列表中，這些郵件列表在暗網(wǎng)被出售、交易、聚合和修改。通常，惡意軟件隱藏在電子郵件的附件中。一旦文件被打開(kāi)，要么自動(dòng)安裝惡意軟件，要么使用一個(gè)嚴(yán)重混淆的宏從外部源下載并安裝它。常見(jiàn)的惡意軟件包括病毒、間諜軟件、蠕蟲(chóng)和勒索軟件。

　　惡意軟件不斷更新，包括新的規(guī)避和后門(mén)技術(shù)，旨在欺騙用戶(hù)和安全服務(wù)。其中一些規(guī)避技術(shù)依賴(lài)于簡(jiǎn)單的策略，例如使用web代理來(lái)隱藏惡意流量或源IP地址。更復(fù)雜的規(guī)避技術(shù)包括多態(tài)惡意軟件，它不斷改變代碼，以避開(kāi)大多數(shù)反惡意軟件工具的檢測(cè)。

　　2.1勒索軟件鎖定關(guān)鍵文件并導(dǎo)致業(yè)務(wù)混亂

　　網(wǎng)絡(luò)罪犯用勒索軟件攻擊政府、醫(yī)療保健和教育機(jī)構(gòu)。惡意軟件以電子郵件附件或鏈接的形式發(fā)送，感染網(wǎng)絡(luò)，鎖定電子郵件、數(shù)據(jù)和其他關(guān)鍵文件，直到被害者支付贖金。這些不斷發(fā)展和復(fù)雜的攻擊具有破壞性，代價(jià)高昂。它們可以破壞日常運(yùn)營(yíng)，造成混亂，并導(dǎo)致停機(jī)時(shí)間、贖金支付、回收成本和其他財(cái)務(wù)損失。例如，2018年，亞特蘭大市遭遇勒索軟件攻擊，要求支付大約5萬(wàn)美元的比特幣，該市最終花了260多萬(wàn)美元來(lái)恢復(fù)數(shù)據(jù)。

　　盡管勒索軟件已經(jīng)存在了20多年，但近年來(lái)威脅一直在迅速增長(zhǎng)。隨著疫情大流行使人們迅速而廣泛地轉(zhuǎn)移到遠(yuǎn)程工作，網(wǎng)絡(luò)罪犯獲得了更大的攻擊面。家庭網(wǎng)絡(luò)的安全性較弱，這使得網(wǎng)絡(luò)罪犯更容易破壞家庭網(wǎng)絡(luò)，并發(fā)動(dòng)勒索軟件攻擊。

　　2.2新的物聯(lián)網(wǎng)惡意軟件變種構(gòu)建僵尸網(wǎng)絡(luò)

　　一種新的惡意軟件變體正在對(duì)Mac和Android物聯(lián)網(wǎng)設(shè)備發(fā)起攻擊。此前，只有Windows和Linux電腦受到攻擊。名為星際風(fēng)暴的惡意軟件背后的網(wǎng)絡(luò)犯罪組織發(fā)布了新的變體，正在構(gòu)建一個(gè)僵尸網(wǎng)絡(luò)，Barracuda研究人員估計(jì)，這個(gè)僵尸網(wǎng)絡(luò)包括分布在84個(gè)國(guó)家的約1.35萬(wàn)臺(tái)受感染的機(jī)器，而且還在繼續(xù)增長(zhǎng)。

　　2.3惡意軟件利用服務(wù)器和web應(yīng)用程序框架

　　以前的加密惡意軟件Golang的變種只攻擊Linux機(jī)器，而最新的變種使用了新的漏洞池來(lái)攻擊Windows機(jī)器。這種新的惡意軟件攻擊的不是終端用戶(hù)，而是服務(wù)器。

　　這種新的惡意軟件變種會(huì)攻擊web應(yīng)用程序框架、應(yīng)用服務(wù)器和非http服務(wù)。其主要目標(biāo)是挖掘加密貨幣。一旦惡意軟件用初始有效載荷感染一臺(tái)機(jī)器，它就會(huì)為加密程序下載大量文件，這些文件是根據(jù)被攻擊平臺(tái)定制的。惡意軟件以蠕蟲(chóng)的形式傳播，搜索并感染其他易受攻擊的機(jī)器。

　　三、防御建議

　　快速發(fā)展的威脅環(huán)境要求每個(gè)組織都采取多層次的保護(hù)策略，以最大限度地提高網(wǎng)絡(luò)安全，并最大限度地降低成為復(fù)雜攻擊受害者的風(fēng)險(xiǎn)。

　　3.1利用人工智能

　　攻擊者正在調(diào)整電子郵件策略，以繞過(guò)網(wǎng)關(guān)和垃圾郵件過(guò)濾器，因此，關(guān)鍵是要有一個(gè)使用人工智能來(lái)檢測(cè)和防御釣魚(yú)攻擊的解決方案，包括商業(yè)電子郵件泄露和品牌冒充。部署不完全依賴(lài)于尋找惡意鏈接或附件的專(zhuān)門(mén)構(gòu)建的技術(shù)。使用機(jī)器學(xué)習(xí)來(lái)分析組織內(nèi)的正常通信模式，并發(fā)現(xiàn)可能指示攻擊的異常情況。

　　隨著網(wǎng)絡(luò)釣魚(yú)的發(fā)展，即使是訓(xùn)練有素和知識(shí)淵博的用戶(hù)也越來(lái)越難以發(fā)現(xiàn)攻擊。組織應(yīng)該投資于先進(jìn)的檢測(cè)技術(shù)和服務(wù)，以自動(dòng)識(shí)別釣魚(yú)郵件，阻止?jié)撛诘耐{郵件和附件到達(dá)電子郵件收件箱，而不是依賴(lài)用戶(hù)自己識(shí)別它們。

　　3.2主動(dòng)調(diào)查和補(bǔ)救

　　雖然許多惡意電子郵件看起來(lái)很有說(shuō)服力，但釣魚(yú)檢測(cè)系統(tǒng)和相關(guān)安全軟件可以捕捉到微妙的線(xiàn)索，幫助阻止?jié)撛谕{的消息和附件進(jìn)入電子郵件收件箱。

　　一些最具破壞性和最成功的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)自于泄露的賬戶(hù)，所以要確保攻擊者不會(huì)把組織作為發(fā)起這些攻擊的大本營(yíng)。使用技術(shù)來(lái)識(shí)別可疑活動(dòng)，包括來(lái)自不尋常地點(diǎn)和IP地址的登錄，這是賬戶(hù)被盜用的潛在跡象。一定要監(jiān)視電子郵件賬戶(hù)，以防惡意的收件箱規(guī)則，因?yàn)樗鼈兘?jīng)常被用作賬戶(hù)接管的一部分。黑客登錄該賬戶(hù)，創(chuàng)建轉(zhuǎn)發(fā)規(guī)則，隱藏或刪除他們從該賬戶(hù)發(fā)送的任何電子郵件，來(lái)掩蓋蹤跡。部署一種技術(shù)，能夠識(shí)別賬戶(hù)何時(shí)受到攻擊，并通過(guò)向用戶(hù)發(fā)出警報(bào)和自動(dòng)刪除從被攻擊賬戶(hù)發(fā)送的惡意電子郵件來(lái)實(shí)時(shí)補(bǔ)救。

　　3.3培訓(xùn)員工識(shí)別和報(bào)告攻擊

　　作為安全意識(shí)培訓(xùn)的一部分，教育員工有關(guān)網(wǎng)絡(luò)釣魚(yú)、惡意軟件和其他類(lèi)型的攻擊。確保員工能夠識(shí)別潛在威脅，了解欺詐性質(zhì)，并知道如何報(bào)告這些威脅。

　　幫助員工避免犯代價(jià)高昂的錯(cuò)誤，方法是制定指導(dǎo)方針，制定程序，確認(rèn)通過(guò)電子郵件發(fā)出的請(qǐng)求。

　　利用網(wǎng)絡(luò)釣魚(yú)模擬將員工從安全責(zé)任轉(zhuǎn)變?yōu)榉谰€(xiàn)。向員工展示如何識(shí)別電子郵件、語(yǔ)音郵件和短信攻擊。通過(guò)即時(shí)模擬測(cè)試訓(xùn)練的有效性，評(píng)估最易受到攻擊的用戶(hù)。

　　3.4使用各種高級(jí)解決方案

　　部署先進(jìn)的出入站安全技術(shù)，包括惡意軟件檢測(cè)、垃圾郵件過(guò)濾器、網(wǎng)絡(luò)和WAF防火墻以及沙盒。加密和DLP有助于防止意外和惡意數(shù)據(jù)丟失。電子郵件存檔對(duì)于法規(guī)遵從性和業(yè)務(wù)連續(xù)性也至關(guān)重要。

　　對(duì)于附加了惡意文檔的電子郵件，靜態(tài)和動(dòng)態(tài)分析都可以發(fā)現(xiàn)文檔試圖下載并運(yùn)行可執(zhí)行文件的跡象，這是任何文檔都不應(yīng)該做的。通?？梢允褂迷囂椒ɑ蛲{情報(bào)系統(tǒng)來(lái)標(biāo)記可執(zhí)行文件的URL。靜態(tài)分析檢測(cè)到的混淆還可以指示文檔是否可疑。

　　如果用戶(hù)打開(kāi)惡意附件或單擊指向DRIVE BY下載的鏈接，能夠進(jìn)行惡意軟件分析的高級(jí)網(wǎng)絡(luò)防火墻會(huì)在可執(zhí)行文件試圖通過(guò)時(shí)對(duì)其進(jìn)行標(biāo)記，從而提供阻止攻擊的機(jī)會(huì)。

　　3.5內(nèi)置備份計(jì)劃

　　在發(fā)生勒索軟件攻擊時(shí)，無(wú)論文件位于物理設(shè)備、虛擬環(huán)境還是公共云中，備份解決方案都可以最大限度地減少停機(jī)時(shí)間、防止數(shù)據(jù)丟失并快速恢復(fù)系統(tǒng)。

　　為了避免備份受到勒索軟件攻擊的影響，請(qǐng)遵循3-2-1規(guī)則：將文件的三個(gè)副本保存在兩種不同的媒體類(lèi)型上，其中至少一個(gè)在異地。