网御威胁分析一体机——火眼金睛识别钓鱼邮件
在某大数据局重保值守期间,TAR监测到黑灰产钓鱼邮件,原文如下图所示,根据邮件内容扫描二维码后进入到跳转页面显示输入银行卡号,这就是近期频发的典型钓鱼邮件事件:
从上述邮件可以看出,钓鱼邮件不仅是红蓝对抗利器,也是黑灰产的拿手好戏。那么都有哪些钓鱼邮件呢?
1.正文链接钓鱼
攻击者在邮件正文中嵌入钓鱼链接,引导受害者点击链接直接进入虚假钓鱼网站或链接,通常用于窃取账号凭证。
2.附件钓鱼
攻击者将远控木马或者宏病毒等保存在附件中。常见附件为word、excel文档,其附件中会包含钓鱼链接和宏病毒,是红蓝对抗、黑灰产,以及APT组织钓鱼攻击中的常用方式。
3.二维码钓鱼
攻击者用伪造的二维码,仿造虚假网站的URL信息,让用户进入一个假冒的登录页面,由于部分用户扫码时,不会注意URL链接是否正确,容易被钓鱼成功。此手法钓鱼成功率高,适用于黑灰产和红蓝对抗。
如何检测钓鱼邮件?
1.邮件附件还原检测
钓鱼邮件多采用附件钓鱼方式,附件多以word文档为主,甚至会进行压缩包加密,将压缩包密码放在正文中,以躲避安全设备检测。网御威胁分析一体机(简称TAR)采用双向检测引擎,可对邮件原文件进行还原,内置沙箱,可对常见百余种邮件附件格式进行还原和沙箱检测,同时具备提取正文密码破解能力,可自动使用邮件正文密码爆破压缩包附件,爆破成功后对附件及其子文件进行检测。
2.钓鱼邮件算法检测
钓鱼邮件通常采用发件人伪造、URL域名伪造、动态域名回连等方式进行钓鱼欺骗。网御威胁分析一体机(简称TAR)内置钓鱼邮件检测算法,无需人工干预,即可自动对钓鱼邮件进行检测。同时具备邮件分析场景,将还原出的邮件进行检测及呈现,实现正常邮件和钓鱼邮件监测,采用中文标签方式,进行钓鱼邮件提醒。
3.邮件二维码检测
二维码钓鱼方式是常见的钓鱼方式,由于使用手机扫码进行查看,很多人并不会注意URL是否正确,因此钓鱼成功率很高。网御威胁分析一体机(简称TAR)可自动识别邮件二维码,并以中文标签方式进行标记,自动识别出二维码链接,使钓鱼二维码中隐藏的恶意链接无所遁形。
综上,钓鱼邮件是一种威胁程度大、攻击见效快的攻击方式,且备受攻击者的青睐。企事业单位应在部署相应钓鱼邮件检测设备的同时,加强人员的防钓鱼意识,不要轻信发件人地址中的“显示名”、切记勿点陌生邮件的钓鱼链接。
钓鱼邮件日常防范措施:
对于任何要求提供自己隐私(如:账号、密码、银行账号等)的邮件,要谨慎对待,不要输入信息。信息中心不会收集任何的系统的账号信息和密码信息,请注意。
不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以随便设置的,要注意阅读发件邮箱全称。
不要轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接( 例如http://t.cn/xuWefTy1)或带链接的文字来迷惑用户。
不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实。
不要使用公共场所的网络设备执行敏感操作。不要使用公共场所的电脑或者公共WIFI登入邮箱、使用即时通讯软件、网上银行或进行其它涉及敏感资料的操作。
不要将敏感信息发布到互联网上。用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性地向用户发送钓鱼邮件。
