黑客在去年對美國橡樹嶺國家實(shí)驗(yàn)室及今年十月初對美國白宮的兩輪攻擊中均使用了釣魚式攻擊,讓政府部門鳴起警鐘。同時,商業(yè)也成為了釣魚式攻擊的主要受害者,黑客們不斷地通過攻擊竊取客戶的源代碼、知識產(chǎn)權(quán)及財務(wù)信息,成為企業(yè)正常發(fā)展的羈絆之一,而對于IT管理人員來說,這更是縈繞在心頭的沉重陰影。釣魚式攻擊現(xiàn)已成為IT業(yè)界最為關(guān)心的話題之一。
Websense作為全球領(lǐng)先的統(tǒng)一Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商,其安全實(shí)驗(yàn)室的安全專家一直通過ThreatSeeker Network攔截并分析各類釣魚式攻擊,并于十月發(fā)布了關(guān)于釣魚式網(wǎng)絡(luò)攻擊的最新報告,報告包含如下要點(diǎn):
釣魚式攻擊往往隱藏在垃圾郵件中
垃圾郵件常被作為許多網(wǎng)絡(luò)攻擊的先頭部隊(duì),攻擊者往往發(fā)出數(shù)目驚人的垃圾郵件,以便在數(shù)字證書到期或被攻擊者實(shí)施必要的防護(hù)前滲透到目標(biāo)區(qū)。Websense的報告顯示:92%的垃圾郵件都附帶URL鏈接,而在所有的垃圾郵件中,只有約1.62%的郵件能引起釣魚攻擊。雖然這個比例看起來不大,但對于每小時有超過25萬封垃圾郵件被發(fā)送出去的基數(shù)而言,影響程度可想而知。相對含毒郵件在垃圾郵件中僅占約0.4%的比重,釣魚攻擊類垃圾電郵的滲透力更為可觀。
這些用于釣魚攻擊的郵件所附帶的鏈接會將用戶重定向到一些虛假的惡意站點(diǎn),黑客會在受害者加載頁面的同時竊取其登錄信息等敏感數(shù)據(jù)。Websense的研究表明,大多數(shù)的惡意站點(diǎn)被架設(shè)在美國。這些托管著釣魚式攻擊所用的惡意URL的服務(wù)器基本上無須人員值守,因此,并不能作為判斷攻擊者所在地的依據(jù)。
另外,Websense在報告中也列出了全球十大釣魚攻擊惡意URL托管主機(jī)所在地,排名從高到低分別為美國、加拿大、巴哈馬、埃及、德國、英國、荷蘭、法國、巴西、俄羅斯。
社會工程學(xué)是黑客們的拿手好戲
當(dāng)這些惡意郵件到達(dá)用戶的郵箱后,如何才能吸引用戶點(diǎn)擊附帶的URL鏈接呢?黑客們會分析用戶的行為習(xí)慣和特殊心態(tài),通過社會工程學(xué)進(jìn)行誘騙,降低用戶的警惕性。比如,近期通過發(fā)送虛假的殺毒提示,攻擊者屢屢得手。
面對瀏覽網(wǎng)頁時右下角彈出的殺毒警告,人們基本上是不予以理會的,因?yàn)樗麄円呀?jīng)熟知這類的騙局。但當(dāng)您在郵件中收到此類通知,且發(fā)件者看起來像和您有關(guān)聯(lián)的組織(如銀行、SNS網(wǎng)站)的時候,用戶點(diǎn)擊惡意URL的幾率就提升了。
Websense分析發(fā)現(xiàn),在今年最近的一個季度中,這類郵件主題在量級排名前五名中已占到四個名額之多。黑客們的目的非常明確,就是要吸引盡可能多的用戶點(diǎn)擊鏈接。我們在這里列出五大可疑信息,供讀者參考:
1、您的賬戶已被第三方登錄
2、XX銀行賬戶服務(wù)消息
3、您需要新的安全措施
4、請驗(yàn)證您的活動
5、賬號安全通知
精心布局,繞開公共防護(hù)體系
有的用戶也許會說,我的郵箱只在公司才用,公司的電子郵件安全系統(tǒng)會幫我掃描并過濾掉這些垃圾郵件。其實(shí)不然,黑客們的機(jī)智程度往往令人咂舌,他們可以繞過一些專業(yè)的IT防護(hù)系統(tǒng)。
Websense的統(tǒng)計發(fā)現(xiàn),大多數(shù)的網(wǎng)絡(luò)釣魚電子郵件是在周五被發(fā)送的,其次是周一,分別占比38.5%和30%,周日占比10.9%,周二、周三、周四和周六的占比只有可憐的3%-6%。
這些數(shù)據(jù)說明了如下事實(shí):
黑客們已經(jīng)熟知人們的行為模式,每周五,員工們大都處于放松的狀態(tài)及對周末的渴望,這很可能導(dǎo)致網(wǎng)頁瀏覽量及鏈接點(diǎn)擊率的增加;而每周一,員工剛度過周末,馬上要逼自己進(jìn)入工作狀態(tài),也很可能走神,落入圈套。黑客們同時還研究了企業(yè)IT安全防護(hù)的運(yùn)作模式,這也是他們會選擇在周五和周一攻擊的另一原因。
攻擊者在周五發(fā)送的郵件中往往附帶“干凈”的URL鏈接,以此繞過企業(yè)IT安全防護(hù)的掃描,而在周末,他們會改變URL的定向位置,以便將受害者引向惡意站點(diǎn)。到了工作日,員工們會以為自己即將訪問的是正常頁面,然后攻擊就奏效了。
這樣的布局可以讓黑客們輕易獲取員工的相關(guān)權(quán)限,訪問特殊的網(wǎng)段竊取敏感信息,或者以此為跳板,入侵更高級別的企業(yè)管理者網(wǎng)絡(luò)。
這簡直就是各機(jī)構(gòu)安全防護(hù)人員的噩夢,這類攻擊的風(fēng)險已經(jīng)迫在眉睫,而他們卻常常力不從心。釣魚式攻擊其實(shí)并不是靠量級和覆蓋面取勝,而是依靠精心的布局和適當(dāng)?shù)囊T,這些社會學(xué)攻擊有時甚至讓有安全防護(hù)措施的用戶落入陷阱,因?yàn)樗麄冋J(rèn)為自己有到位的防護(hù),并在潛意識中對即有的安全措施過度依賴。
愿者上鉤,黑客們新的獵物手段
最近,又爆出了新的釣魚攻擊方式,與以往的釣魚攻擊主動引誘用戶不同,新的釣魚方式有點(diǎn)守株待兔的意味。
Websense的安全實(shí)驗(yàn)室已經(jīng)確認(rèn)了幾起這樣的攻擊事件:今年5月,美國國家安全研究協(xié)會在以色列的網(wǎng)站被黑客悄無聲息地占領(lǐng)后,不停地向來訪者發(fā)動RSA攻擊;同月,英國國際特赦組織官網(wǎng)也被攻占,并在被攻占后釋放Gh0st RAT,攻擊來訪者;今年8月,尼泊爾政府官網(wǎng)同樣成為一個布滿Zegost RAT的大陷阱。
以上3個事件中,黑客們都利用了同一個安全漏洞:CVE-2012-0507,此類性質(zhì)的攻擊可能是某些國際組織獲取資訊的手段。他們選擇這類有固定訪客類型的公共站點(diǎn),在不必知道訪客的電子郵箱地址的情況下,編造一系列的社會工程學(xué)陷阱。我們可以推測,這有可能是一次偵查活動,他們的目標(biāo)則是一些更為特殊的群體。
阻止釣魚式網(wǎng)絡(luò)攻擊的三項(xiàng)建議
在安全報告中,Websense闡釋了垃圾郵件是如何被釣魚攻擊者利用,釣魚攻擊者是如何制造各類陷阱,黑客又是如何繞過安全防護(hù),及最新的釣魚式攻擊的變型等問題。同時,Websense的安全專家給出了如下建議:
·職工培訓(xùn)
釣魚式攻擊中,人為因素是非常關(guān)鍵的。職工的相關(guān)培訓(xùn)是最基礎(chǔ)的部分,可以通過制定員工手冊、VOD在線和培訓(xùn)大會等行政手段貫徹實(shí)施,以便讓職員清晰地認(rèn)識到在點(diǎn)擊郵件或鏈接前謹(jǐn)慎考慮的重要性。
·電子郵件沙盒
沙盒技術(shù)的部署是電子郵件安全解決方案中重要的一環(huán)。為了在用戶點(diǎn)擊URL時檢查這些鏈接,企業(yè)需要URL沙盒技術(shù)的支持,以便實(shí)時分析加載網(wǎng)頁的內(nèi)容及代碼。
·實(shí)時監(jiān)測分析網(wǎng)站流量
因?yàn)橐恍﹩T工可能會使用Gmail等個人郵箱,所以包含釣魚式攻擊的惡意郵件很可能會繞過企業(yè)的安全網(wǎng)關(guān),讓企業(yè)的沙盒形如虛設(shè)。這種情況下,企業(yè)需要提升安全網(wǎng)關(guān)的智能等級,以便實(shí)施分析網(wǎng)段中的可疑內(nèi)容,阻止惡意郵件在內(nèi)網(wǎng)的流通。
Websense的專家指出:以上三項(xiàng)安全防護(hù)工作若能被各組織認(rèn)真對待且部署到位,可成功阻止90%-95%的釣魚式網(wǎng)絡(luò)攻擊。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.kaqidy.com/
本文標(biāo)題:Websense安全實(shí)驗(yàn)室發(fā)布最新釣魚式攻擊報告
本文網(wǎng)址:http://www.kaqidy.com/html/consultation/1083955157.html
相關(guān)文章
