【編者按】當(dāng)今社會要警惕迅速出現(xiàn)的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)罪犯正在改變其攻擊技術(shù)，使用一系列新的策略來提高成功率。從COVID-19相關(guān)的網(wǎng)絡(luò)釣魚和基于表單的攻擊，到IoT惡意軟件和對話劫持，網(wǎng)絡(luò)犯罪分子繼續(xù)演變威脅格局，隨著網(wǎng)絡(luò)犯罪分子不斷改進(jìn)方法，攻擊變得越來越有針對性、復(fù)雜，而且代價(jià)也越來越高。與攻擊相關(guān)的成本和損害可能是極端的。這對財(cái)務(wù)造成了廣泛的影響，包括業(yè)務(wù)中斷、生產(chǎn)率降低、數(shù)據(jù)丟失、監(jiān)管罰款和品牌受損。商務(wù)電子郵件泄露攻擊只占所有網(wǎng)絡(luò)攻擊的一小部分，近年來給全球組織造成了數(shù)十億美元的損失。Barracuda分析了過去12個(gè)月的專項(xiàng)研究，提供了對最大潛在網(wǎng)絡(luò)安全威脅的展望，以及企業(yè)可以用來幫助防御這些威脅的有效解決方案。

　　許多攻擊旨在規(guī)避傳統(tǒng)的電子郵件安全，包括網(wǎng)關(guān)和垃圾郵件過濾器。攻擊通常來自信譽(yù)度高的域或已經(jīng)受損的電子郵件賬戶。攻擊通常使用欺騙技術(shù)，包括“零日”鏈接、以前攻擊中未使用的域上托管的URL或已插入被劫持合法網(wǎng)站的URL等。

　　一、頭號威脅：網(wǎng)絡(luò)釣魚攻擊

　　魚叉式網(wǎng)絡(luò)釣魚、與冠狀病毒有關(guān)的網(wǎng)絡(luò)釣魚以及與之相關(guān)的網(wǎng)絡(luò)釣魚攻擊，不會在短期內(nèi)消失。網(wǎng)絡(luò)釣魚仍然是一個(gè)持續(xù)的威脅，并且攻擊也在不斷演變。

　　釣魚郵件被隨機(jī)發(fā)送給大量的收件人，預(yù)計(jì)只有一小部分人會回復(fù)。舉個(gè)例子：一封來自知名快遞公司的官方郵件說你的包裹被延遲了，并告訴你點(diǎn)擊鏈接獲取更多細(xì)節(jié)。如果你點(diǎn)擊這個(gè)鏈接，惡意軟件就會被下載到你的設(shè)備上。這個(gè)鏈接也可能指向一個(gè)虛假的網(wǎng)站，在那里你被要求輸入你的姓名、地址和社會保險(xiǎn)號碼。這些信息將在暗網(wǎng)上出售，被用于身份欺詐和其他犯罪。

　　另一方面，魚叉式網(wǎng)絡(luò)釣魚攻擊非常個(gè)性化。網(wǎng)絡(luò)犯罪分子研究他們的目標(biāo)，并經(jīng)常冒充一個(gè)值得信賴的同事、網(wǎng)站或企業(yè)。魚叉式網(wǎng)絡(luò)釣魚電子郵件通常試圖竊取敏感信息，如登錄憑據(jù)或財(cái)務(wù)信息。例如，有時(shí)騙子冒充企業(yè)、學(xué)?；蚱渌M織的員工，索取財(cái)務(wù)或個(gè)人信息。

　　1.1網(wǎng)絡(luò)釣魚引誘賬戶接管受害者

　　Barracuda和加州大學(xué)伯克利分校的研究人員對電子郵件賬戶的接管、攻擊的時(shí)間線、黑客試圖逃避檢測的行為以及識別可疑活動的方法進(jìn)行了大規(guī)模分析。

　　為了實(shí)施賬戶接管攻擊，攻擊者利用品牌冒充、社會工程和網(wǎng)絡(luò)釣魚來竊取登錄憑證和訪問賬戶。一旦賬戶被攻破，黑客就會監(jiān)控和跟蹤活動，以了解公司是如何開展業(yè)務(wù)的，包括公司使用的電子郵件簽名，以及金融交易的處理方式，這樣黑客就可以發(fā)動成功的攻擊，包括獲取其他賬戶的額外登錄憑據(jù)。

　　研究人員指出，攻擊是在一段時(shí)間內(nèi)蔓延的；它們并不總是在賬戶被攻破后立即發(fā)生。攻擊者在地理位置上也變得越來越聰明；他們發(fā)送釣魚電子郵件，并從與被黑客賬戶的類似地區(qū)和國家相關(guān)的IP地址執(zhí)行其他操作。IP地址和ISP提供了重要線索；攻擊者傾向于使用屬于ISP的匿名IP，而這些IP不同于被黑客攻擊的賬戶的提供商。對于網(wǎng)絡(luò)罪犯來說，接管賬戶并獲得對組織及其數(shù)據(jù)的訪問權(quán)限可以帶來豐厚的回報(bào)。

　　攻擊者還利用會話劫持竊取金錢和敏感個(gè)人信息。根據(jù)他們從泄露的電子郵件賬戶或其他來源收集到的信息，攻擊者將自己插入現(xiàn)有的商業(yè)對話或發(fā)起新的對話。利用泄露賬戶中的信息，包括員工、合作伙伴和客戶之間的內(nèi)部和外部對話，制作令人信服的消息，并從模擬的電子郵件域發(fā)送這些消息，誘騙受害者匯錢或提供個(gè)人信息。

　　Barracuda的研究人員發(fā)現(xiàn)，近幾個(gè)月來，用于促進(jìn)對話劫持的領(lǐng)域模擬攻擊急劇上升。對每月約50萬次電子郵件攻擊的分析顯示，用于會話劫持的假冒域名攻擊增加了400%。雖然與其他類型的網(wǎng)絡(luò)釣魚攻擊相比，在冒充域攻擊中使用會話劫持的頻率非常低，但這些復(fù)雜的攻擊都是非常個(gè)性化的，因此它們非常有效、很難檢測到，而且代價(jià)高昂。

　　1.2利用冠狀病毒為主題的釣魚攻擊

　　在全世界都在應(yīng)對冠狀病毒之時(shí)，各種釣魚活動正利用人們對COVID-19的高度關(guān)注，散布惡意軟件、竊取憑證、騙取用戶錢財(cái)。這些攻擊使用常見的網(wǎng)絡(luò)釣魚策略，但越來越多的活動正利用冠狀病毒作為誘餌，并利用潛在受害者的恐懼和不確定性。早些時(shí)候，攻擊者冒充世界衛(wèi)生組織官員發(fā)送電子郵件，聲稱出售口罩或冠狀病毒療法?，F(xiàn)在，攻擊者更多地關(guān)注使用關(guān)于疫苗可用性的虛假更新來欺騙人們。

　　Barracuda研究人員確定了使用COVID-19主題的三種主要類型的網(wǎng)絡(luò)釣魚攻擊：欺詐、品牌冒充和商務(wù)電子郵件泄露。以冠狀病毒為誘餌的網(wǎng)絡(luò)釣魚攻擊變得更加復(fù)雜，大量敲詐攻擊也層出不窮。

　　魚叉式網(wǎng)絡(luò)釣魚是一種針對特定組織或個(gè)人的高度個(gè)性化的網(wǎng)絡(luò)釣魚攻擊，網(wǎng)絡(luò)犯罪分子正利用它攻擊包括教育在內(nèi)的各種不同行業(yè)。

　　Barracuda研究人員評估了350多萬個(gè)魚叉式網(wǎng)絡(luò)釣魚攻擊，包括針對1000多所學(xué)校、學(xué)院和大學(xué)的攻擊。研究人員發(fā)現(xiàn)，教育機(jī)構(gòu)比其他機(jī)構(gòu)更容易成為商務(wù)郵件泄露（BEC）攻擊的目標(biāo)。事實(shí)上，超過25%的針對教育行業(yè)的魚叉式網(wǎng)絡(luò)釣魚攻擊都是精心策劃的BEC攻擊。泄露的賬戶隨后被用來發(fā)起后續(xù)攻擊并泄露其他賬戶。

　　隨著解決方案的演變，攻擊者也在改變策略，試圖逃避檢測。網(wǎng)絡(luò)犯罪分子創(chuàng)建具有合法服務(wù)的電子郵件賬戶，并利用它們進(jìn)行冒充和BEC攻擊。他們寫有針對性的郵件，在大多數(shù)情況下，只使用這些電子郵件賬戶幾次，以避免被電子郵件服務(wù)提供商發(fā)現(xiàn)或屏蔽。

　　在品牌冒充攻擊中，攻擊者利用文件、內(nèi)容共享或其他網(wǎng)站誘騙受害者共享登錄憑據(jù)。這種高度專業(yè)化的攻擊很難檢測到，因?yàn)榘l(fā)起攻擊的網(wǎng)絡(luò)釣魚電子郵件通常包含指向合法網(wǎng)站的鏈接，例如docs.google.com或者sway.office.com.

　　二、最大威脅：惡意軟件攻擊

　　網(wǎng)絡(luò)犯罪分子持續(xù)使用惡意軟件發(fā)動各種攻擊。惡意軟件攻擊是復(fù)雜的、分層的，而且還在不斷演變。大多數(shù)惡意軟件都以垃圾郵件的形式被廣泛發(fā)送到電子郵件列表中，這些郵件列表在暗網(wǎng)被出售、交易、聚合和修改。通常，惡意軟件隱藏在電子郵件的附件中。一旦文件被打開，要么自動安裝惡意軟件，要么使用一個(gè)嚴(yán)重混淆的宏從外部源下載并安裝它。常見的惡意軟件包括病毒、間諜軟件、蠕蟲和勒索軟件。

　　惡意軟件不斷更新，包括新的規(guī)避和后門技術(shù)，旨在欺騙用戶和安全服務(wù)。其中一些規(guī)避技術(shù)依賴于簡單的策略，例如使用web代理來隱藏惡意流量或源IP地址。更復(fù)雜的規(guī)避技術(shù)包括多態(tài)惡意軟件，它不斷改變代碼，以避開大多數(shù)反惡意軟件工具的檢測。

　　2.1勒索軟件鎖定關(guān)鍵文件并導(dǎo)致業(yè)務(wù)混亂

　　網(wǎng)絡(luò)罪犯用勒索軟件攻擊政府、醫(yī)療保健和教育機(jī)構(gòu)。惡意軟件以電子郵件附件或鏈接的形式發(fā)送，感染網(wǎng)絡(luò)，鎖定電子郵件、數(shù)據(jù)和其他關(guān)鍵文件，直到被害者支付贖金。這些不斷發(fā)展和復(fù)雜的攻擊具有破壞性，代價(jià)高昂。它們可以破壞日常運(yùn)營，造成混亂，并導(dǎo)致停機(jī)時(shí)間、贖金支付、回收成本和其他財(cái)務(wù)損失。例如，2018年，亞特蘭大市遭遇勒索軟件攻擊，要求支付大約5萬美元的比特幣，該市最終花了260多萬美元來恢復(fù)數(shù)據(jù)。

　　盡管勒索軟件已經(jīng)存在了20多年，但近年來威脅一直在迅速增長。隨著疫情大流行使人們迅速而廣泛地轉(zhuǎn)移到遠(yuǎn)程工作，網(wǎng)絡(luò)罪犯獲得了更大的攻擊面。家庭網(wǎng)絡(luò)的安全性較弱，這使得網(wǎng)絡(luò)罪犯更容易破壞家庭網(wǎng)絡(luò)，并發(fā)動勒索軟件攻擊。

　　2.2新的物聯(lián)網(wǎng)惡意軟件變種構(gòu)建僵尸網(wǎng)絡(luò)

　　一種新的惡意軟件變體正在對Mac和Android物聯(lián)網(wǎng)設(shè)備發(fā)起攻擊。此前，只有Windows和Linux電腦受到攻擊。名為星際風(fēng)暴的惡意軟件背后的網(wǎng)絡(luò)犯罪組織發(fā)布了新的變體，正在構(gòu)建一個(gè)僵尸網(wǎng)絡(luò)，Barracuda研究人員估計(jì)，這個(gè)僵尸網(wǎng)絡(luò)包括分布在84個(gè)國家的約1.35萬臺受感染的機(jī)器，而且還在繼續(xù)增長。

　　2.3惡意軟件利用服務(wù)器和web應(yīng)用程序框架

　　以前的加密惡意軟件Golang的變種只攻擊Linux機(jī)器，而最新的變種使用了新的漏洞池來攻擊Windows機(jī)器。這種新的惡意軟件攻擊的不是終端用戶，而是服務(wù)器。

　　這種新的惡意軟件變種會攻擊web應(yīng)用程序框架、應(yīng)用服務(wù)器和非http服務(wù)。其主要目標(biāo)是挖掘加密貨幣。一旦惡意軟件用初始有效載荷感染一臺機(jī)器，它就會為加密程序下載大量文件，這些文件是根據(jù)被攻擊平臺定制的。惡意軟件以蠕蟲的形式傳播，搜索并感染其他易受攻擊的機(jī)器。

　　三、防御建議

　　快速發(fā)展的威脅環(huán)境要求每個(gè)組織都采取多層次的保護(hù)策略，以最大限度地提高網(wǎng)絡(luò)安全，并最大限度地降低成為復(fù)雜攻擊受害者的風(fēng)險(xiǎn)。

　　3.1利用人工智能

　　攻擊者正在調(diào)整電子郵件策略，以繞過網(wǎng)關(guān)和垃圾郵件過濾器，因此，關(guān)鍵是要有一個(gè)使用人工智能來檢測和防御釣魚攻擊的解決方案，包括商業(yè)電子郵件泄露和品牌冒充。部署不完全依賴于尋找惡意鏈接或附件的專門構(gòu)建的技術(shù)。使用機(jī)器學(xué)習(xí)來分析組織內(nèi)的正常通信模式，并發(fā)現(xiàn)可能指示攻擊的異常情況。

　　隨著網(wǎng)絡(luò)釣魚的發(fā)展，即使是訓(xùn)練有素和知識淵博的用戶也越來越難以發(fā)現(xiàn)攻擊。組織應(yīng)該投資于先進(jìn)的檢測技術(shù)和服務(wù)，以自動識別釣魚郵件，阻止?jié)撛诘耐{郵件和附件到達(dá)電子郵件收件箱，而不是依賴用戶自己識別它們。

　　3.2主動調(diào)查和補(bǔ)救

　　雖然許多惡意電子郵件看起來很有說服力，但釣魚檢測系統(tǒng)和相關(guān)安全軟件可以捕捉到微妙的線索，幫助阻止?jié)撛谕{的消息和附件進(jìn)入電子郵件收件箱。

　　一些最具破壞性和最成功的魚叉式網(wǎng)絡(luò)釣魚攻擊來自于泄露的賬戶，所以要確保攻擊者不會把組織作為發(fā)起這些攻擊的大本營。使用技術(shù)來識別可疑活動，包括來自不尋常地點(diǎn)和IP地址的登錄，這是賬戶被盜用的潛在跡象。一定要監(jiān)視電子郵件賬戶，以防惡意的收件箱規(guī)則，因?yàn)樗鼈兘?jīng)常被用作賬戶接管的一部分。黑客登錄該賬戶，創(chuàng)建轉(zhuǎn)發(fā)規(guī)則，隱藏或刪除他們從該賬戶發(fā)送的任何電子郵件，來掩蓋蹤跡。部署一種技術(shù)，能夠識別賬戶何時(shí)受到攻擊，并通過向用戶發(fā)出警報(bào)和自動刪除從被攻擊賬戶發(fā)送的惡意電子郵件來實(shí)時(shí)補(bǔ)救。

　　3.3培訓(xùn)員工識別和報(bào)告攻擊

　　作為安全意識培訓(xùn)的一部分，教育員工有關(guān)網(wǎng)絡(luò)釣魚、惡意軟件和其他類型的攻擊。確保員工能夠識別潛在威脅，了解欺詐性質(zhì)，并知道如何報(bào)告這些威脅。

　　幫助員工避免犯代價(jià)高昂的錯(cuò)誤，方法是制定指導(dǎo)方針，制定程序，確認(rèn)通過電子郵件發(fā)出的請求。

　　利用網(wǎng)絡(luò)釣魚模擬將員工從安全責(zé)任轉(zhuǎn)變?yōu)榉谰€。向員工展示如何識別電子郵件、語音郵件和短信攻擊。通過即時(shí)模擬測試訓(xùn)練的有效性，評估最易受到攻擊的用戶。

　　3.4使用各種高級解決方案

　　部署先進(jìn)的出入站安全技術(shù)，包括惡意軟件檢測、垃圾郵件過濾器、網(wǎng)絡(luò)和WAF防火墻以及沙盒。加密和DLP有助于防止意外和惡意數(shù)據(jù)丟失。電子郵件存檔對于法規(guī)遵從性和業(yè)務(wù)連續(xù)性也至關(guān)重要。

　　對于附加了惡意文檔的電子郵件，靜態(tài)和動態(tài)分析都可以發(fā)現(xiàn)文檔試圖下載并運(yùn)行可執(zhí)行文件的跡象，這是任何文檔都不應(yīng)該做的。通?？梢允褂迷囂椒ɑ蛲{情報(bào)系統(tǒng)來標(biāo)記可執(zhí)行文件的URL。靜態(tài)分析檢測到的混淆還可以指示文檔是否可疑。

　　如果用戶打開惡意附件或單擊指向DRIVE BY下載的鏈接，能夠進(jìn)行惡意軟件分析的高級網(wǎng)絡(luò)防火墻會在可執(zhí)行文件試圖通過時(shí)對其進(jìn)行標(biāo)記，從而提供阻止攻擊的機(jī)會。

　　3.5內(nèi)置備份計(jì)劃

　　在發(fā)生勒索軟件攻擊時(shí)，無論文件位于物理設(shè)備、虛擬環(huán)境還是公共云中，備份解決方案都可以最大限度地減少停機(jī)時(shí)間、防止數(shù)據(jù)丟失并快速恢復(fù)系統(tǒng)。

　　為了避免備份受到勒索軟件攻擊的影響，請遵循3-2-1規(guī)則：將文件的三個(gè)副本保存在兩種不同的媒體類型上，其中至少一個(gè)在異地。