长期以来,钓鱼攻击一直是企业网络安全的主要威胁之一。无论是邮件服务供应商还是邮件网关,甚至是浏览器,都在使用反钓鱼过滤规则和针对恶意网站的扫描器对其加以防范。因此,网络不法分子们也一直在研究绕过安全机制的新方法,其中就包括延迟钓鱼攻击。
何为延迟钓鱼攻击?
延迟钓鱼攻击试图通过”投递后武器化URL”技术引诱受害者访问恶意的或者伪造的网站。正如它的名称所示,该技术在恶意邮件投递成功之后才将链接所指向的网站变为恶意站点。换句话说,当潜在受害者刚收到邮件时,邮件中的链接往往指向的是不存在的网站,或者是虽然已经被入侵但暂时还没有出现恶意内容的正规网站。安全软件中的保护算法从邮件中提取链接,对其指向的网站进行扫描,然而没有发现任何危险内容,于是允许邮件投递。
在邮件投递之后的某个时刻(理想情况是在邮件被打开之前),攻击者对邮件中链接指向的站点进行修改,在之前无害的页面上加入恶意内容。具体情况有各种可能,也许是伪造为银行网站,或者是利用浏览器漏洞在受害者计算机上下载恶意程序,而在大约80%情况下则是将其变为钓鱼网站。
如何绕过反钓鱼算法?
网络不法分子使用以下三种方法之一来绕过检测规则。
- 使用普通的链接。在这种情况下,目标站点要么是攻击者自己搭建的,要么是遭到了攻击者的入侵劫持。不法分子们通常更喜欢后者,因为这样一来目标站点一般带有偏向正面的声誉,也更容易欺骗安全算法。在邮件刚刚投递时,链接指向的通常是毫无意义的站点,或者(大多数情况下)是404错误页面。
- 短链接偷换。很多在线工具都可以将过长的链接转变为短小的链接。短链接更加容易使用,它在被访问时扩展成原先的长链接,也就是说它会触发一次简单的跳转。有些网络服务允许修改短链接对应的原链接,而这会成为被攻击者利用的漏洞。因此在消息投递时,链接明明指向正规网站,过一会儿便指向了恶意网站。
- 使用带有随机功能的短链接。有些短链接生成工具带有基于概率进行不同跳转的功能,也就是说该短链接有一半几率指向谷歌,另一半几率指向钓鱼网站。显然,跳转至正常网站的可能性会扰乱网络爬虫(自动搜集信息的程序)。
链接何时开始指向恶意网站?
攻击者通常假设潜在受害者们的作息时间是白天工作晚上睡觉。因此,延迟钓鱼邮件往往在午夜之后发送,并在几小时后接近天亮时变为恶意邮件。根据反钓鱼攻击监控数据显示,早上7点至10点是高峰期,这段时间大量用户正在边喝咖啡边查看邮箱。
鱼叉式钓鱼也可能采用同样手段,如果网络犯罪分子锁定攻击目标人物,他们可能会研究其日常作息规律,并基于其查看邮件的时间来选择何时激活恶意链接。
如何检测延迟钓鱼攻击?
理想情况下,我们应该尽可能防止用户收到钓鱼邮件,因此重新扫描收件箱也许是最佳选择。在某些情况下这个方法是可行的,比如公司使用的是微软邮件交换服务器。
在今年九月,卡巴斯基微软邮件交换服务器安全模块已经支持通过原生API对邮件服务器的整合,这将允许对已经在收件箱中的邮件进行再次扫描。如果设置合理,我们可以在确保检测出延迟钓鱼攻击的同时避免在邮件高峰期给服务器带来额外负担。
我们的安全解决方案还可以监控内部邮件(这些邮件不会经过邮件安全网关,因此过滤规则和扫描引擎对它们不起作用),也支持添加更加高级复杂的内容过滤规则。在商业邮件攻击这种高危场景中,黑客拥有企业邮箱账号的访问权限,因此,具有重新扫描收件箱和控制内部通信的能力显得至关重要。
我们的安全解决方案卡巴斯基企业安全解决方案含有卡巴斯基微软邮件交换服务器安全模块。