【編者按】隨著Moderna、輝瑞（Pfizer）和強生（Johnson & Johnson）相繼推出COVID-19疫苗，網(wǎng)絡犯罪分子的攻擊目標是那些渴望接種疫苗的人。根據(jù)Barracuda的研究，去年10月至今年1月，與COVID-19疫苗相關的魚叉式網(wǎng)絡釣魚攻擊平均增長了26%。與此同時，Check Point的研究人員在過去四個月里發(fā)現(xiàn)了至少294個潛在危險的疫苗相關域。網(wǎng)絡犯罪活動的類型各不相同，從發(fā)送聲稱來自美國疾病控制與預防中心（CDC）的惡意電子郵件，到在地下論壇上發(fā)布廣告兜售的疫苗劑量。但隨著疫苗的廣泛推廣，攻擊者在各方面都加大了攻擊力度。

　　Barracuda Networks的研究人員表示，疫情引發(fā)的強烈情緒，為網(wǎng)絡罪犯的猖獗創(chuàng)造了一個完美的環(huán)境。攻擊者利用人們的恐懼、緊迫感、社會工程和其他常見的策略來引誘受害者。

　　一、基于電子郵件的攻擊

　　攻擊者正在利用人們對COVID-19疫苗的高度關注來發(fā)動魚叉式網(wǎng)絡釣魚攻擊。Barracuda研究人員確定了魚叉式網(wǎng)絡釣魚攻擊的兩種主要類型：品牌冒充和企業(yè)電子郵件泄露。

　　在制藥公司爭相開發(fā)和測試疫苗之際，黑客們也爭相利用新聞報道在其釣魚活動中的勢頭，針對企業(yè)的魚叉式網(wǎng)絡釣魚攻擊數(shù)量在第一批疫苗宣布時達到頂峰。

　　圖1  與疫苗相關的網(wǎng)絡釣魚活動時間線

　　雖然Barracuda研究人員分析的大多數(shù)與疫苗相關的網(wǎng)絡釣魚攻擊都是騙局，但許多攻擊使用了更具針對性的技術，如品牌冒充和商業(yè)電子郵件泄露。

　　1、品牌冒充

　　與疫苗相關的釣魚電子郵件冒充知名品牌或組織，其中包括一個釣魚網(wǎng)站的鏈接，該網(wǎng)站宣傳提前獲得疫苗，提供疫苗以換取報酬，甚至冒充醫(yī)療保健專業(yè)人員要求提供個人信息以檢查疫苗的資格。

　　品牌冒充策略包括許多攻擊者假裝是疾病控制中心，試圖說服電子郵件收件人要么點擊惡意附件，要么交出自己的憑據(jù)。

　　圖2  與疫苗相關的網(wǎng)絡釣魚電子郵件

　　Barracuda的研究人員發(fā)現(xiàn)，在一項以“第二階段疫苗接種獲得批準”為主題的活動中，使用了CDC的標識分發(fā)惡意電子郵件。郵件告訴收件人：“我們很高興地宣布，第二階段的疫苗接種已經(jīng)獲得批準。你們當?shù)氐男l(wèi)生和公共服務部門已經(jīng)決定了第二階段疫苗的分發(fā)方式和時間。單擊此處了解有關您所在州/地區(qū)計劃的更多信息?！彪S后的鏈接將受害者帶到一個攻擊者控制的域，在那里他們要么被要求輸入自己的口令，要么惡意軟件被下載到他們的系統(tǒng)上。

　　另外，Check Point的研究人員還發(fā)現(xiàn)了一個模仿疾控中心的惡意網(wǎng)站，該網(wǎng)站要求受害者提供微軟的憑據(jù)。該網(wǎng)站偽裝成微軟Office 365的登錄頁面，使用微軟的圖標，要求受害者提供與其賬戶和密碼相關的電子郵件、電話或Skype名稱。

　　該主域名（infecture alerts[.]com）創(chuàng)建于2020年4月，人們在2021年1月下旬首次發(fā)現(xiàn)有人瀏覽這個惡意網(wǎng)站，幾周前，黑客還使用了另一個類似的子域covid19\.accine\.infect-alert\.com，該域名現(xiàn)在處于非活躍狀態(tài)。

　　2、電子郵件泄露

　　攻擊者使用商務電子郵件泄露（BEC）來冒充組織內(nèi)的個人或其業(yè)務合作伙伴。近年來，已經(jīng)成為最具破壞性的電子郵件威脅之一，給企業(yè)造成了超過260億美元的損失。商業(yè)電子郵件泄露，目的是說服受害者向攻擊者控制的賬戶匯款。

　　最近，這些高度針對性的攻擊轉向了與疫苗相關的話題。研究人員表示，他們看到來自了員工賬戶的攻擊，這些員工說他們需要在外出接種疫苗時得到“緊急幫助”，或者是來自人力資源專家賬戶的電子郵件，這些專家稱已經(jīng)為員工獲得了疫苗接種資格。這些誘餌通常來自受害者組織內(nèi)被攻破的電子郵件賬戶，它們會在電子郵件收件人和攻擊者之間展開最初的對話，最終受害者被說服轉賬。

　　圖3  攻擊者利用疫苗接種話題冒充組織內(nèi)個人或業(yè)務合作伙伴

　　二、使用泄露賬戶欺詐

　　Barracuda研究人員看到許多欺詐性的信息是從泄露的賬戶內(nèi)部發(fā)送的。

　　攻擊者利用網(wǎng)絡釣魚攻擊來破壞和接管企業(yè)賬戶。一旦進入，老練的黑客會進行偵察活動，然后再發(fā)起有針對性的攻擊。通常情況下，他們會利用這些合法賬戶向盡可能多的個人發(fā)送大規(guī)模的網(wǎng)絡釣魚和垃圾郵件。這就是為什么長期觀察這些橫向釣魚攻擊時，會發(fā)現(xiàn)它們的活動出現(xiàn)了巨大的峰值。有趣的是，與疫苗相關的橫向網(wǎng)絡釣魚攻擊，在世界各地宣布和批準COVID-19疫苗的同時激增。

　　圖4  輝瑞、Moderna、阿斯利康疫苗宣布批準緊急使用后網(wǎng)絡釣魚事件激增

　　黑客還試圖通過在地下論壇上銷售COVID-19疫苗來迅速獲利，這些疫苗據(jù)稱來自輝瑞/生物科技、阿斯利康和Moderna。

　　卡巴斯基研究人員3月4日在15個地下市場發(fā)現(xiàn)了這種疫苗的廣告，并警告稱，沒有跡象表明這些疫苗劑量是合法的。許多賣家的交易量在100到500筆之間。目前還不清楚有多少疫苗銷售商在分銷真正的藥物。

　　疫苗每劑的價格從250美元到1200美元不等，平均在500美元左右。通常情況下，支付是以比特幣的形式進行的，這樣賣家就能隱藏自己的身份，從而使支付更難追蹤。進一步的分析表明，在Moderna和輝瑞的療效公布后，疫苗的定價大幅上漲，廣告數(shù)量也大幅增加。賣家主要來自法國、德國、英國和美國，通信使用加密的消息應用程序，如Wickr和Telegram。

　　去年12月，歐盟執(zhí)法機構歐洲刑警組織（Europol）對此類暗網(wǎng)活動發(fā)出了警告，警告消費者不要在網(wǎng)上尋找疫苗替代品。

　　三、防范與建議

　　COVID-19流行以來，網(wǎng)絡釣魚攻擊和其他與疫情有關的惡意活動一直在增加，包括利用解除冠狀病毒封鎖以及金融救濟詐騙的攻擊。自大規(guī)模推廣疫苗以來，網(wǎng)絡犯罪分子還利用疫苗作為誘餌，例如用于復雜的Zebrocy惡意軟件活動。

　　為了防范攻擊，避免成為此類騙局的受害者，建議采用以下最佳做法：

　　● 對與疫苗相關的電子郵件保持警惕：注意電子郵件中典型的網(wǎng)絡釣魚危險信號，包括提前獲得COVID-19疫苗、加入疫苗等候名單，并將疫苗直接郵寄等。不要點擊郵件中的鏈接或打開附件，因為它們通常是惡意的。

　　● 充分利用人工智能：攻擊者正在調(diào)整電子郵件策略，以繞過網(wǎng)關和垃圾郵件過濾器，因此，有一個檢測和保護魚叉式網(wǎng)絡釣魚攻擊的解決方案是至關重要的。這些攻擊包括品牌冒充、商業(yè)電子郵件泄露和電子郵件賬戶接管。部署專門構建的技術，該技術不完全依賴于尋找惡意鏈接或附件。通過使用機器學習來分析組織內(nèi)的正常通信模式，解決方案可以發(fā)現(xiàn)可能指示攻擊的異常情況。

　　● 部署賬戶接管保護：不能只關注外部郵件。一些最具破壞性和最成功的魚叉式網(wǎng)絡釣魚攻擊源自內(nèi)部賬戶泄露。確保黑客沒有利用你的組織作為大本營發(fā)動這些攻擊。通過添加識別內(nèi)部電子郵件何時被泄露的保護措施，確保不會發(fā)生商業(yè)電子郵件泄露類型的攻擊。

　　● 培訓員工識別和報告攻擊：為員工提供有關疫苗相關網(wǎng)絡釣魚、季節(jié)性欺詐和其他潛在威脅的意識培訓。確保員工能夠識別最新的攻擊，并知道如何立即向IT部門報告。使用針對電子郵件、語音郵件和短信的網(wǎng)絡釣魚模擬來培訓用戶識別網(wǎng)絡攻擊，測試培訓的有效性，并評估最易受攻擊的用戶。

　　● 制定強有力的內(nèi)部政策以防止欺詐：所有組織應制定并定期審查現(xiàn)有政策，以確保個人和財務信息得到妥善處理。幫助員工避免犯代價高昂的錯誤，建立指導方針，制定程序，確認所有電匯和付款變更的電子郵件請求。所有金融交易都需要多人親自或電話確認或批準。