【編者按】隨著Moderna、輝瑞（Pfizer）和強(qiáng)生（Johnson & Johnson）相繼推出COVID-19疫苗，網(wǎng)絡(luò)犯罪分子的攻擊目標(biāo)是那些渴望接種疫苗的人。根據(jù)Barracuda的研究，去年10月至今年1月，與COVID-19疫苗相關(guān)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊平均增長(zhǎng)了26%。與此同時(shí)，Check Point的研究人員在過(guò)去四個(gè)月里發(fā)現(xiàn)了至少294個(gè)潛在危險(xiǎn)的疫苗相關(guān)域。網(wǎng)絡(luò)犯罪活動(dòng)的類型各不相同，從發(fā)送聲稱來(lái)自美國(guó)疾病控制與預(yù)防中心（CDC）的惡意電子郵件，到在地下論壇上發(fā)布廣告兜售的疫苗劑量。但隨著疫苗的廣泛推廣，攻擊者在各方面都加大了攻擊力度。

　　Barracuda Networks的研究人員表示，疫情引發(fā)的強(qiáng)烈情緒，為網(wǎng)絡(luò)罪犯的猖獗創(chuàng)造了一個(gè)完美的環(huán)境。攻擊者利用人們的恐懼、緊迫感、社會(huì)工程和其他常見(jiàn)的策略來(lái)引誘受害者。

　　一、基于電子郵件的攻擊

　　攻擊者正在利用人們對(duì)COVID-19疫苗的高度關(guān)注來(lái)發(fā)動(dòng)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊。Barracuda研究人員確定了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的兩種主要類型：品牌冒充和企業(yè)電子郵件泄露。

　　在制藥公司爭(zhēng)相開(kāi)發(fā)和測(cè)試疫苗之際，黑客們也爭(zhēng)相利用新聞報(bào)道在其釣魚(yú)活動(dòng)中的勢(shì)頭，針對(duì)企業(yè)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量在第一批疫苗宣布時(shí)達(dá)到頂峰。

　　圖1  與疫苗相關(guān)的網(wǎng)絡(luò)釣魚(yú)活動(dòng)時(shí)間線

　　雖然Barracuda研究人員分析的大多數(shù)與疫苗相關(guān)的網(wǎng)絡(luò)釣魚(yú)攻擊都是騙局，但許多攻擊使用了更具針對(duì)性的技術(shù)，如品牌冒充和商業(yè)電子郵件泄露。

　　1、品牌冒充

　　與疫苗相關(guān)的釣魚(yú)電子郵件冒充知名品牌或組織，其中包括一個(gè)釣魚(yú)網(wǎng)站的鏈接，該網(wǎng)站宣傳提前獲得疫苗，提供疫苗以換取報(bào)酬，甚至冒充醫(yī)療保健專業(yè)人員要求提供個(gè)人信息以檢查疫苗的資格。

　　品牌冒充策略包括許多攻擊者假裝是疾病控制中心，試圖說(shuō)服電子郵件收件人要么點(diǎn)擊惡意附件，要么交出自己的憑據(jù)。

　　圖2  與疫苗相關(guān)的網(wǎng)絡(luò)釣魚(yú)電子郵件

　　Barracuda的研究人員發(fā)現(xiàn)，在一項(xiàng)以“第二階段疫苗接種獲得批準(zhǔn)”為主題的活動(dòng)中，使用了CDC的標(biāo)識(shí)分發(fā)惡意電子郵件。郵件告訴收件人：“我們很高興地宣布，第二階段的疫苗接種已經(jīng)獲得批準(zhǔn)。你們當(dāng)?shù)氐男l(wèi)生和公共服務(wù)部門(mén)已經(jīng)決定了第二階段疫苗的分發(fā)方式和時(shí)間。單擊此處了解有關(guān)您所在州/地區(qū)計(jì)劃的更多信息。”隨后的鏈接將受害者帶到一個(gè)攻擊者控制的域，在那里他們要么被要求輸入自己的口令，要么惡意軟件被下載到他們的系統(tǒng)上。

　　另外，Check Point的研究人員還發(fā)現(xiàn)了一個(gè)模仿疾控中心的惡意網(wǎng)站，該網(wǎng)站要求受害者提供微軟的憑據(jù)。該網(wǎng)站偽裝成微軟Office 365的登錄頁(yè)面，使用微軟的圖標(biāo)，要求受害者提供與其賬戶和密碼相關(guān)的電子郵件、電話或Skype名稱。

　　該主域名（infecture alerts[.]com）創(chuàng)建于2020年4月，人們?cè)?021年1月下旬首次發(fā)現(xiàn)有人瀏覽這個(gè)惡意網(wǎng)站，幾周前，黑客還使用了另一個(gè)類似的子域covid19\.accine\.infect-alert\.com，該域名現(xiàn)在處于非活躍狀態(tài)。

　　2、電子郵件泄露

　　攻擊者使用商務(wù)電子郵件泄露（BEC）來(lái)冒充組織內(nèi)的個(gè)人或其業(yè)務(wù)合作伙伴。近年來(lái)，已經(jīng)成為最具破壞性的電子郵件威脅之一，給企業(yè)造成了超過(guò)260億美元的損失。商業(yè)電子郵件泄露，目的是說(shuō)服受害者向攻擊者控制的賬戶匯款。

　　最近，這些高度針對(duì)性的攻擊轉(zhuǎn)向了與疫苗相關(guān)的話題。研究人員表示，他們看到來(lái)自了員工賬戶的攻擊，這些員工說(shuō)他們需要在外出接種疫苗時(shí)得到“緊急幫助”，或者是來(lái)自人力資源專家賬戶的電子郵件，這些專家稱已經(jīng)為員工獲得了疫苗接種資格。這些誘餌通常來(lái)自受害者組織內(nèi)被攻破的電子郵件賬戶，它們會(huì)在電子郵件收件人和攻擊者之間展開(kāi)最初的對(duì)話，最終受害者被說(shuō)服轉(zhuǎn)賬。

　　圖3  攻擊者利用疫苗接種話題冒充組織內(nèi)個(gè)人或業(yè)務(wù)合作伙伴

　　二、使用泄露賬戶欺詐

　　Barracuda研究人員看到許多欺詐性的信息是從泄露的賬戶內(nèi)部發(fā)送的。

　　攻擊者利用網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)破壞和接管企業(yè)賬戶。一旦進(jìn)入，老練的黑客會(huì)進(jìn)行偵察活動(dòng)，然后再發(fā)起有針對(duì)性的攻擊。通常情況下，他們會(huì)利用這些合法賬戶向盡可能多的個(gè)人發(fā)送大規(guī)模的網(wǎng)絡(luò)釣魚(yú)和垃圾郵件。這就是為什么長(zhǎng)期觀察這些橫向釣魚(yú)攻擊時(shí)，會(huì)發(fā)現(xiàn)它們的活動(dòng)出現(xiàn)了巨大的峰值。有趣的是，與疫苗相關(guān)的橫向網(wǎng)絡(luò)釣魚(yú)攻擊，在世界各地宣布和批準(zhǔn)COVID-19疫苗的同時(shí)激增。

　　圖4  輝瑞、Moderna、阿斯利康疫苗宣布批準(zhǔn)緊急使用后網(wǎng)絡(luò)釣魚(yú)事件激增

　　黑客還試圖通過(guò)在地下論壇上銷(xiāo)售COVID-19疫苗來(lái)迅速獲利，這些疫苗據(jù)稱來(lái)自輝瑞/生物科技、阿斯利康和Moderna。

　　卡巴斯基研究人員3月4日在15個(gè)地下市場(chǎng)發(fā)現(xiàn)了這種疫苗的廣告，并警告稱，沒(méi)有跡象表明這些疫苗劑量是合法的。許多賣(mài)家的交易量在100到500筆之間。目前還不清楚有多少疫苗銷(xiāo)售商在分銷(xiāo)真正的藥物。

　　疫苗每劑的價(jià)格從250美元到1200美元不等，平均在500美元左右。通常情況下，支付是以比特幣的形式進(jìn)行的，這樣賣(mài)家就能隱藏自己的身份，從而使支付更難追蹤。進(jìn)一步的分析表明，在Moderna和輝瑞的療效公布后，疫苗的定價(jià)大幅上漲，廣告數(shù)量也大幅增加。賣(mài)家主要來(lái)自法國(guó)、德國(guó)、英國(guó)和美國(guó)，通信使用加密的消息應(yīng)用程序，如Wickr和Telegram。

　　去年12月，歐盟執(zhí)法機(jī)構(gòu)歐洲刑警組織（Europol）對(duì)此類暗網(wǎng)活動(dòng)發(fā)出了警告，警告消費(fèi)者不要在網(wǎng)上尋找疫苗替代品。

　　三、防范與建議

　　COVID-19流行以來(lái)，網(wǎng)絡(luò)釣魚(yú)攻擊和其他與疫情有關(guān)的惡意活動(dòng)一直在增加，包括利用解除冠狀病毒封鎖以及金融救濟(jì)詐騙的攻擊。自大規(guī)模推廣疫苗以來(lái)，網(wǎng)絡(luò)犯罪分子還利用疫苗作為誘餌，例如用于復(fù)雜的Zebrocy惡意軟件活動(dòng)。

　　為了防范攻擊，避免成為此類騙局的受害者，建議采用以下最佳做法：

　　● 對(duì)與疫苗相關(guān)的電子郵件保持警惕：注意電子郵件中典型的網(wǎng)絡(luò)釣魚(yú)危險(xiǎn)信號(hào)，包括提前獲得COVID-19疫苗、加入疫苗等候名單，并將疫苗直接郵寄等。不要點(diǎn)擊郵件中的鏈接或打開(kāi)附件，因?yàn)樗鼈兺ǔＪ菒阂獾摹?/p>

　　● 充分利用人工智能：攻擊者正在調(diào)整電子郵件策略，以繞過(guò)網(wǎng)關(guān)和垃圾郵件過(guò)濾器，因此，有一個(gè)檢測(cè)和保護(hù)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的解決方案是至關(guān)重要的。這些攻擊包括品牌冒充、商業(yè)電子郵件泄露和電子郵件賬戶接管。部署專門(mén)構(gòu)建的技術(shù)，該技術(shù)不完全依賴于尋找惡意鏈接或附件。通過(guò)使用機(jī)器學(xué)習(xí)來(lái)分析組織內(nèi)的正常通信模式，解決方案可以發(fā)現(xiàn)可能指示攻擊的異常情況。

　　● 部署賬戶接管保護(hù)：不能只關(guān)注外部郵件。一些最具破壞性和最成功的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊源自內(nèi)部賬戶泄露。確保黑客沒(méi)有利用你的組織作為大本營(yíng)發(fā)動(dòng)這些攻擊。通過(guò)添加識(shí)別內(nèi)部電子郵件何時(shí)被泄露的保護(hù)措施，確保不會(huì)發(fā)生商業(yè)電子郵件泄露類型的攻擊。

　　● 培訓(xùn)員工識(shí)別和報(bào)告攻擊：為員工提供有關(guān)疫苗相關(guān)網(wǎng)絡(luò)釣魚(yú)、季節(jié)性欺詐和其他潛在威脅的意識(shí)培訓(xùn)。確保員工能夠識(shí)別最新的攻擊，并知道如何立即向IT部門(mén)報(bào)告。使用針對(duì)電子郵件、語(yǔ)音郵件和短信的網(wǎng)絡(luò)釣魚(yú)模擬來(lái)培訓(xùn)用戶識(shí)別網(wǎng)絡(luò)攻擊，測(cè)試培訓(xùn)的有效性，并評(píng)估最易受攻擊的用戶。

　　● 制定強(qiáng)有力的內(nèi)部政策以防止欺詐：所有組織應(yīng)制定并定期審查現(xiàn)有政策，以確保個(gè)人和財(cái)務(wù)信息得到妥善處理。幫助員工避免犯代價(jià)高昂的錯(cuò)誤，建立指導(dǎo)方針，制定程序，確認(rèn)所有電匯和付款變更的電子郵件請(qǐng)求。所有金融交易都需要多人親自或電話確認(rèn)或批準(zhǔn)。