什么是网络钓鱼?
网络钓鱼是一种网络安全攻击 其中恶意行为者将自己伪装成受信任的人、网站或其他实体,并通过消息直接与受害者互动。不良行为者使用这些消息来获取敏感信息或在受害者的基础设施上部署恶意软件。
在组织中,一旦网络钓鱼攻击成功并且其中一名员工 妥协,攻击者更容易绕过组织安全边界,在封闭环境中分发恶意软件或获得对安全公司数据的特权访问。这是因为攻击者现在表现为具有访问权限的可信且合法的组织实体。
网络钓鱼活动呈上升趋势
网络钓鱼属于 社会工程学类别,即通过人类交互完成的恶意活动。不幸的是,此类攻击非常流行,并且是网络犯罪中的一个重要攻击媒介。 研究 FBI 互联网犯罪投诉中心 (IC3) 进行的调查发现,网络钓鱼是 2020 年美国最普遍的威胁之一。此外,根据 IRONSCALES 的最新研究81 年 2020 月至 2021 年 XNUMX 月期间,全球 XNUMX% 的组织经历了电子邮件网络钓鱼攻击的增加。
这一增长可能是由于 COVID-19 引入并加速了工作方式的改变。这些变化包括 远程工作,员工使用的设备数量(包括手机和笔记本电脑)增加,对 SaaS 应用程序的依赖程度加大,浏览器成为主要工作工具,办公协作通过电子邮件、Microsoft Teams、Slack 等转向数字通信。
攻击者很快就适应了。网络钓鱼电子邮件数量猛增 667%,令人震惊 据梭子鱼网络报道,因为攻击者不失时机地利用在家工作的新环境及其日益增加的数字存在。 微软的 工作的新未来 报告 显示了类似的结果,指出 62% 的安全专业人员表示网络钓鱼活动是 COVID-19 期间增加最多的威胁。
尽管疫情已经相对消退,但今天网络钓鱼攻击的数量似乎仍在增加。根据 Interisle 咨询集团的报告61 年 2021 月至 2022 年 XNUMX 月期间,网络钓鱼攻击数量增长了 XNUMX%。此外,网络钓鱼甚至在大流行之前就在稳步增长。正如您所看到的,在此图表中 [参见上图], 与恶意软件网站的数量相比,网络钓鱼网站的数量多年来一直在增加,而恶意软件网站的数量自 2017 年以来一直在减少。
这些发现并不令人惊讶,因为网络钓鱼继续为攻击者带来结果。根据 Verizon 2022 年数据泄露调查报告,2.9% 的员工点击网络钓鱼电子邮件,他们发现这一结果随着时间的推移保持稳定。我们认为,这是由于人类容易犯错误的自然特征,也是由于网络钓鱼攻击的日益复杂性,网络钓鱼攻击能够以非常令人信服的方式冒充合法用户和网站。随着网络安全的发展,攻击方法也变得更加聪明。
网络钓鱼的令人不寒而栗的影响
对于个人而言,成功的网络钓鱼攻击可能会导致未经授权的购买、资金被盗、身份被盗和个人数据丢失。对于组织而言,网络钓鱼攻击可以以个人为目标,以此作为在组织中立足的一种方式。一旦遭到破坏,组织就会受到巨大影响。
IBM 的 2021 年数据泄露成本报告发现,网络钓鱼是应对成本第二高的攻击媒介,平均给组织造成 4.65 百万美元。遭受恶意攻击的公司将不得不赔偿多个客户,并且面临失去投资者信心和公众对其产品的信任的风险,而这些产品具有真正的财务价值。例如,在 2018 年 Facebook 用户数据被泄露后,Facebook 的总价值下降了 36 亿美元,该公司仍在从这一损失中恢复。
财务损失并不是应该考虑的唯一负面影响。成功的攻击会导致数据丢失、关键操作中断和个人数据泄露。反过来,这些可能会导致进一步的经济负担,包括赔偿客户或因违反 GDPR 等隐私法规的个人数据泄露而支付监管罚款,以及法律和品牌声誉影响。
网络钓鱼攻击逃避传统安全机制
随着网络钓鱼攻击发生的范围扩大,网络钓鱼攻击的复杂性和巧妙性似乎也在增加。如今,领先攻击者一步变得越来越困难,因为他们在攻击活动中采用了巧妙且往往具有高度欺骗性的网络钓鱼技术。
一个突出的例子是鱼叉式网络钓鱼活动,它可以轻松绕过工作场所电子邮件安全软件。例如,冒充 Facebook 的电子邮件诈骗成功绕过思科电子邮件安全设备和微软的 Exchange Online Protection。该电子邮件甚至被授予垃圾邮件置信度 (SCL) 1,这意味着它成功地跳过了 Microsoft 的垃圾邮件过滤器。
Area 1 Security 的报告 分析了六个月内发送给组织的 1.5 亿条消息,发现 Office 365 以及来自 Cisco、Proofpoint 和 Mimecast 的其他知名 SEG 错过了超过 925,000 封网络钓鱼电子邮件。
组织使用的网络钓鱼工具包通常包含传统的规避机制。然而,这些老式的网络安全解决方案无法识别不同类型的规避,也无法阻止网络钓鱼攻击,如上面的示例所示。
以下是攻击者能够部署来克服安全参数的一些机制示例:
MFA 绕过
多重身份验证 (MFA) 是一种身份验证方法,要求用户提供两个或多个验证因素才能获得对资源的访问权限。例如,用户需要提供用户名和密码,然后还需要提供将发送到用户手机的 PIN 码。 MFA 的主要好处是,它要求您的用户通过用户名和密码以外的方式来识别自己的身份,从而增强您组织的安全性.
然而,MFA 并不是防止网络钓鱼攻击的万无一失的解决方案。 微软 最近发现了一种绕过多重身份验证 (MFA) 的广泛网络钓鱼活动。最初的攻击劫持了 Office 365 身份验证过程,将用户重定向到中间对手 (AiTM) 网络钓鱼登录页面,旨在窃取会话 cookie 和凭据。然后,即使用户启用了 MFA,攻击者也会劫持用户的登录会话并跳过身份验证过程。
然后,攻击者使用窃取的凭据和会话 cookie 访问受影响用户的邮箱,并对其他目标执行后续商业电子邮件泄露 (BEC) 活动,如 Microsoft 威胁情报中心 (MSTIC) 所详述
沙盒规避
沙箱是一种隔离运行程序的安全机制,通过在受限的操作系统环境中执行软件或运行网页来实现。沙箱通过将进程与组织环境的其他部分隔离来防止潜在的恶意程序或不安全代码的侵害。这样,如果检测到威胁,就不会影响用户的设备。
然而,已经观察到新的网络钓鱼攻击可以逃避这种安全机制。为此,他们使用“睡眠者”——沙箱无法观察到的内部停滞机制,确保恶意负载仅在面对真正的最终用户时才会采取行动。这意味着攻击者可以识别他们何时访问了公司基础设施上的真实工作站,而不是沙箱。如果存在沙箱,钓鱼网页上通常会显示错误,并且攻击不会开始。因此,由于规避,标准安全供应商不会将网络钓鱼网站归类为恶意网站,并且该网站将继续在不被注意的情况下运行。
设备信息的限制
网络钓鱼攻击利用的另一种规避技术是分析设备信息,以根除试图伪装成用户的安全供应商。与沙箱规避类似,攻击者的目标是仅当真实用户访问网页时才激活网络钓鱼方案。
为此,威胁行为者开发了一种基于不同数据源识别人类目标的能力:来自浏览器的数据、操作系统以及网页内容在用户屏幕上的显示方式。有了这些信息,网络钓鱼工具包就可以确定该设备是否由个人使用(例如笔记本电脑或手机),或者它是否是沙箱或伪装成用户的安全机制。
此信息可帮助网络钓鱼网站根据屏幕尺寸或视口对用户进行分类。通过访问有关访问者技术的窗口高度和宽度的访问者数据,威胁行为者知道目标正在使用什么类型的设备,并可以决定是攻击还是逃避。
这些只是不断演变的威胁形势的几个例子,因为攻击者每天都在寻找新的方法来绕过传统的网络安全保护。这是非常令人不安的,需要一种新颖的方法来应对浏览器安全的挑战。
传统解决方案达不到要求
正如我们所看到的,网络钓鱼活动已经开发了检测传统反网络钓鱼软件类型的机制,无论是沙箱、电子邮件扫描仪还是多因素身份验证。一旦被活动检测到,攻击者将部署不同类型的攻击,反网络钓鱼几乎不可能有效阻止或发现恶意网页
一种新颖的基于浏览器的方法
浏览器在现代企业中的作用急剧上升,需要能够防御浏览器中普遍存在的网络攻击的解决方案。网络钓鱼正在成为浏览器网络攻击的主要威胁,无论从流行程度还是严重程度来看。此外, 传统的反网络钓鱼软件会错过许多网络钓鱼活动,并让它们被忽视,从而使员工和组织容易受到攻击。
我们认为这些问题的适当解决方案应该基于浏览器。 LayerX Security 提供了一种新颖的网络钓鱼防护方法。
LayerX 浏览器平台包括一个浏览器扩展,可监控应用程序层的浏览器会话,直接了解解密后阶段的所有浏览事件,使其能够实时分析和实施保护操作,不会产生延迟或影响用户体验。 LayerX 可以无缝修改呈现的网页,超越粗略阻止/允许访问的范围,提供细粒度的强制执行,消除网页的恶意方面,而不是完全阻止对其的访问。当攻击者在本质上合法的页面上发起攻击时,例如在遍历银行应用程序页面的 DOM 结构时,这一点至关重要。 LayerX 提供最高级别的安全性,且不会降低用户的浏览体验。
