F5 - 2018釣魚欺詐報告

摘要： 執行摘要 一年前的 2017 年 11 月， F5 實驗室釋出了關於 網路釣魚的祕密及如何阻止它 的指導性報告。一年之後，釣魚攻擊毫無意外地繼續保持著頂級攻擊向量的地位，並且在許多情況下都是多向量攻擊的初始攻擊向量。過去兩年來，釣魚攻擊導致的資料洩露事件穩步增長。在 2018 ...

執行摘要

一年前的 2017 年 11 月， F5 實驗室釋出了關於 ofollow,noindex" target="_blank">網路釣魚的祕密及如何阻止它 的指導性報告。一年之後，釣魚攻擊毫無意外地繼續保持著頂級攻擊向量的地位，並且在許多情況下都是多向量攻擊的初始攻擊向量。過去兩年來，釣魚攻擊導致的資料洩露事件穩步增長。在 2018 年，我們預計釣魚攻擊將超過 web 應用攻擊成為資料洩露事件的頭號成因。

在本報告中，我們重點關注了釣魚欺詐攻擊在“假日季節”（每年的 10 月至 1 月期間）的瘋狂飆升。本報告分析了釣魚攻擊一年來的趨勢、欺詐者最常冒充的公司、常見的誘餌、常見的惡意軟體、憑據竊取的後果以及如何通過人員、流程和技術來阻止這類攻擊等。

報告要點 :

• 釣魚欺詐季節開始於 10 月，所以請警醒起來。對員工進行釣魚安全培訓可有效減少惡意郵件、惡意連結和惡意附件的點選率（從 33% 降低至 13% ）。
• 常見的釣魚誘餌應該成為安全意識培訓的注重點。
• 2018 年 9 月 1 日至 10 月 31 日期間發生的釣魚攻擊中有 71% 與“欺詐者最常冒充的十大公司”有關。這對於安全意識培訓來說是一個好訊息，不好的訊息是，這十個公司恰恰是網際網路上使用最廣泛的郵件服務、技術服務和社交媒體平臺等，這也意味著，所有人都是釣魚攻擊的目標。
• 通過拷貝知名公司的合法郵件，釣魚郵件的質量現在越來越逼真了，足以愚弄大部分受害者。
• 金融機構是進入假日季節以來增長最快的釣魚攻擊目標。但我們期待著電子商務和快遞業的崛起。
• 攻擊者們越來越多地將惡意軟體放在加密的網站上偽裝。 9 月至 10 月期間 68% 的惡意軟體網站使用了加密證書。
• 減少釣魚攻擊的關鍵是減少到達使用者郵箱的釣魚郵件的數量。但必須承認的一點是，即使您採用了 web 過濾、反病毒軟體和多因素認證等控制措施，您企業的員工還是一樣可能成為受害者。

引言

F5 安全運營中心的資料表明， 10 月、 11 月和 12 月的釣魚事件要比年平均值高出 50% 。

圖 1 ： F5 SOC 的資料表明 10 、 11 、 12 這三個月的釣魚事件顯著上升

R-CISC 的資料與 F5 SOC 的資料遙相呼應，它們的資料表明購物活動的高峰一直會持續到 1 月份，使得零售商成為攻擊者感興趣的目標。 2018 年 R-CISC 的調查表明，網路釣魚、憑據竊取和賬戶接管（ ATO ）是最大的威脅和挑戰。

釣魚攻擊：獲取使用者資料最簡單的方式

不論是否假日季節，網路釣魚一直都是一個主要的攻擊向量，原因很簡單： access is everything 。你的登入憑據、賬戶號碼、社保號碼、電子郵件地址、電話號碼還有信用卡號碼對欺詐者來說都是十分有用的資訊 – 只要能幫助他們獲得你賬戶的訪問許可權，他們就會想盡辦法把這些資訊偷過來。

圖 2 中總結了 F5 SOC 在 2014 年 1 月至 2017 年底摧毀的惡意網站的型別，其中絕大多數都是釣魚網站（ 75.6% ），其次是包含惡意指令碼的網站（ 11.3% ）以及 URL 重定向網站（ 5.2% ，實際上這一類別往往也與釣魚活動有關）。手機釣魚網站（ 2% ）也是一個新出現的趨勢。

圖 2 ： F5 SOC 摧毀的大部分惡意網站都是釣魚網站

網路釣魚的工作原理

多年來網路釣魚的技術和手段沒有發生太大變化：它總是利用人們心理上的弱點來引誘人們訪問偽造的網站和應用。

常見的網路釣魚包括以下三個步驟：

1. 目標選擇。尋找合適的受害者，尤其是他們的電子郵件地址和背景資訊，以便發現他們的心理弱點。
2. 社會工程學。設定合適的誘餌來引誘受害者，以竊取他們的憑據或植入惡意軟體。這些誘餌是針對受害者定製的。比如說到了今年年末攻擊者就會利用企業年終活動和假日事件來設定合適的誘餌。
3. 技術工程。設計入侵受害者的方法，包括建立虛假網站、製作惡意軟體以及躲避安全掃描器等。

圖 3 ：常見的釣魚模式的三個步驟

常見的釣魚誘餌

成功的釣魚誘餌可以操縱人們的情緒（包括貪婪、關注、緊迫以及恐懼等），誘使人們開啟釣魚郵件並且點選誘餌。常見的誘餌案例包括：

• 賬單或發票。金錢總能引起人們的關注。下圖中 “ 賬單到期 ” 的釣魚郵件就是偽裝成由 F5 主管傳送給供應商的郵件。該郵件督促供應商對他們的賬戶逾期事宜進行回覆。請注意郵件中尷尬的措辭和使用的藉口。

圖 4 ：關於賬單或發票的釣魚郵件中往往包含惡意連結和惡意文件。

• 賬戶鎖定通知。偽裝成知名服務（如下圖所示案例中的 Facebook ）的賬戶鎖定通知往往要求使用者點選郵件中的連結並提供更多身份驗證資訊。請注意下圖中的發件人地址表明這是一個騙局。但該郵件的其他內容都相當有說服力，因為如前所述，該郵件拷貝了合法郵件的佈局。

圖 5 ：虛假的 Facebook 釣魚郵件 – 聯邦起訴 Park Jin Hyok 時的證據

類似於 Apple 這樣的文字郵件更難以被識別是否是釣魚郵件，因為它們往往更加簡潔，也沒有什麼圖示（比若說常見的 logo ）來提示使用者。下圖的案例中就揭示了這一點，但內容中尷尬的措辭表明這是一個騙局。

圖 6 ：關於賬戶鎖定的文字資訊通常更難以被識別是否是騙局

• 權威人士和行政主管。企業員工往往需要快速響應來自高層管理人員或行政人員的電子郵件。下圖案例中的釣魚郵件就偽裝成 F5 CEO 傳送給員工的 “ 緊急 ” 通知。（請注意警告標籤 “ 外部郵件 ” 表明這是一封釣魚郵件，這種郵件應該是內部郵件，永遠不會被貼上外部標籤）

圖 7 ：高層管理人員的緊急郵件很有可能會促使員工點選它

• 訂單或配送資訊。這種釣魚郵件通常包含用於檢查訂單狀態或確認收貨的連結（有時候收件人甚至都不是客戶）。

圖 8 ：這種型別的誘餌在假日季節尤其流行

• 招聘和求職。這種釣魚郵件通常偽裝成來自 HR 或競爭對手的高管的郵件，督促收件人開啟附件檢視簡歷或職位描述。

圖 9 ： Park Jin Hyok 案件的聯邦起訴書中的求職釣魚郵件

圖 10 ： Park Jin Hyok 案件的聯邦起訴書中的求職釣魚郵件，內容是督促收件人開啟附件中的簡歷（ zip 檔案）

• 房地產 / 匯款詐騙 。這種釣魚郵件通常偽裝成房地產中介，向購房者提供新的（不同的）匯款地址，通常指向詐騙犯的銀行賬戶。

圖 11 ：房地產匯款詐騙 – 賬戶號碼變成了詐騙犯的銀行號碼

•   “ 可信來源 ” 的誘餌。這種釣魚郵件利用受害者對發件人的信任和熟悉程度。郵件似乎是來自於朋友或同事（之前遭到釣魚攻擊並且被入侵），並且包含附件或網站連結。下圖中的一個看起來十分可信的案例就是主題為 “ 文件 ” 的郵件，其中的 URL 看起來是指向 Google URL （但不是 Google 文件），實際上它指向了一個託管在 Google 服務上的詐騙網站（看起來似乎是合法的）。

圖 12 ：登入頁面看起來是合法的，但 URL 實際上並未指向一個有效的 Google 域名

• 銀行賬戶通知。這種釣魚郵件通常偽裝成來自受害者的銀行，其中包含 “ 點選此處登入以獲取您的銀行對賬單 ” 。

圖 13 ：釣魚郵件中的虛假銀行登入連結，其登入頁面表明上看起來似乎是合法的

其他常見的釣魚誘餌還包括：

• 捐贈請求。偽裝成來自於知名慈善機構的捐贈請求，這種釣魚郵件在假日季節尤其普遍。
• 法律恐嚇。偽裝成來自國稅局 IRS 、收款機構或政府機構的電子郵件，警告你欠錢了，並且威脅要採取法律行動。
• 退款或中獎通知。通常偽裝成 IRS 的退稅郵件或其他組織的中獎郵件。

釣魚者最常偽裝的企業（Top10）

雖然網路釣魚攻擊的目標各不相同，但 2018 年 9 月 1 日至 10 月 31 日期間超過 71% 的釣魚攻擊都是偽裝成 10 個企業。根據我們的合作伙伴 Webroot 的資料，這 10 個企業主要分佈在技術行業，包括軟體公司和社交媒體公司、電子郵件服務商和檔案共享服務商，和金融機構，包括銀行和支付商。這些都是網際網路上最受歡迎的服務，可以減少受害者的戒心。

這 10 個企業中的技術企業包括 Microsoft 、 Google 、 Facebook 、 Apple 、 Adobe 、 Dropbox 和 DocuSign ，佔了 9 月至 10 月期間的釣魚攻擊的 58% 。

圖 14 ： 2018 年 9 月 1 日至 10 月 31 日釣魚攻擊最常偽裝的企業 Top 10 （資訊來源： Webroot ）

技術企業佔了 7 個，剩下的則是金融機構。

圖 15 ：釣魚攻擊最常偽裝的企業 Top 10 中的行業分佈（資訊來源： Webroot ）

欺詐者可利用被竊憑據做什麼

根據被竊資料的型別不同 – PII 、財務資訊、醫療資訊、教育資訊、信用卡資訊等 – 欺詐者可能實施不同的犯罪行為。如果欺詐者獲得了使用者的登入憑據 – 尤其是銀行賬戶憑據 – 他們就會快速登入、接管這些賬戶，然後提走所有現金。有時他們也會追求其它目標。某些案例中，使用者的信用卡資訊被盜，然後犯罪分子會在暗網上出售這些資料。隨之，買家可能會利用這些資料實施：

• 偽造信用卡。用空白卡偽造信用卡，然後在 ATM 取現或從線上商店購物。

圖 16 ：待售的偽造信用卡

• 購買服務。以較低的價格購買 Netflix 、 Spotify 、 DirectTV 或線上遊戲等服務。

圖 17 ：暗網市場上出售的信用卡和終身賬戶

• 驗證卡號是否有效。通過在音樂網站上進行小額交易（ 1 美元）來驗證信用卡資訊是否有效。
• 僱傭或將信用卡資訊出售給 “ 錢騾子 ” 。錢騾子是指通過被盜的信用卡購買商品，然後將這些商品出售，從而將錢洗白的人。
• 將這些信用卡資訊用於其它犯罪行為之中，例如購買虛假域名、網路服務等，用於支援其它的犯罪行為。
• 購買算力進行挖礦。
• 線上出售被盜的卡資訊。

圖 18 ：銷售被盜星巴克禮品卡號碼的廣告

防範措施

進行的安全意識培訓越多，員工就越能發現和避免風險。 Th e more security awareness training is conducted, the better employees are at spotting and avoiding risks.

注意事項

使用者應該特別注意：

• PDF 和 ZIP 型別的附件。可能包含惡意軟體，除非其傳送者完全可信，否則不要隨意開啟這類檔案。

圖 19 ：要求使用者在開啟 PDF 檔案之前先登入 Adobe 賬戶的釣魚案例

• 短連結。某些短連結可能是惡意的（如 bit.ly 短連結服務），而滑鼠懸停也不會顯示出真實的 URL 地址。
• 瀏覽器中的證書警告。如果一個網站的安全證書無效、過期或不是由可信機構頒發的，瀏覽器就會顯示證書警告。最好不要忽略這些警告。
• 郵件安全警告。如果一封“緊急”的郵件還要求進行登入或提供個人資訊，或是點選連結 / 開啟附件，建議在這樣做之前確認再三。
• 意料之外的郵件。如果看到來自於朋友、熟人、同事或生意夥伴的意料之外的郵件，並且郵件中還要求提供敏感資訊 / 點選連結 / 開啟附件，建議先通過其它方式（例如電話）與郵件傳送者先進行聯絡。
• 虛假的釣魚網站。釣魚網站現在製作得越來越逼真，如下圖所示。使用者應該養成在提供任何個人資訊（如登入憑據或賬戶資訊）之前，仔細檢查 URL 是否正確的習慣。

圖 20 ：釣魚郵件中的虛假 PayPal 網站連結

技術措施

安全意識培訓是必要的，但技術措施同樣也是必要的。一些建議如下：

• 郵件標籤。清楚地對外部來源的郵件進行標記可以有效地阻止欺詐行為。如下圖所示，一條簡單、明確的資訊足以提醒使用者謹慎行事。

圖 21 ：郵件中的安全警告

• 反病毒軟體（ AV ）。要接受這樣一個事實：使用者很有可能會被釣魚，所以要依賴備份控制措施阻止惡意軟體在整個企業環境中傳播。 AV 軟體可以在臺式機和筆記本上實施，並在大多數情況下有效地阻止惡意軟體的安裝企圖，但請記得將 AV 的更新策略設定為最少每天更新一次。
• 網站過濾。網站過濾方案可以阻止使用者訪問釣魚網站。該措施不僅可以阻止企業被入侵，還可以向用戶提供一個學習的寶貴機會：您所訪問的網站已被企業的安全策略所阻止。
• 流量解密和檢查。檢測惡意軟體的加密流量。
• 單點登入（ SSO ）。部署單點登入方案有助於減少密碼疲勞，從而限制網路釣魚攻擊。通常情況下，使用者需要管理的憑據越少，他們在多個應用程式中共享它們、使用弱密碼、不安全地儲存密碼的可能性就越小（被盜憑據的一對多影響）。鑑於在 2017 年密碼破解資料庫就已經超過了 1 萬億條記錄 （這還是在 2018 年的 Equifax 和 Facebook 等資料洩露事件之前），攻擊者能夠在不到 6 小時內破解雜湊密碼，因此需要從技術上盡力支援訪問控制的完整性。
• 多因素認證。應當在所有員工的所有訪問，甚至是郵件中使用雙因素認證。要充分認識到使用者的憑據將會被釣魚，並且不幸的是他們往往在多個網站中使用相同的憑據。即使這些沒有發生，您也可能會遭到第三方合作伙伴被入侵、撞庫攻擊等。多因素認證意味著多一層的保障。
• 報告可疑的釣魚郵件。向員工提供報告可疑釣魚郵件的渠道。某些郵件客戶端（例如 Microsoft Outlook ）現在內建了一個釣魚警報按鈕，可以向 IT 團隊通知可疑的釣魚郵件。如果你的郵件客戶端沒有包含此項功能，可以指示使用者在遭到疑似釣魚攻擊時呼叫熱線或安全團隊。安全團隊可以快速刪除此類釣魚威脅，並向所有員工釋出警告。釣魚攻擊通常是一波一波的，因此員工可以在釣魚攻擊發生時得到警告。
• 更改電子郵件地址。如果員工遭到持續的大量釣魚攻擊，可以考慮更改他們的電子郵件地址。
• 使用 CAPTCHA 。驗證碼可以有效地區分人類和機器人。 CAPTCHA 技術很有效，但使用者可能覺得很煩人，因此可以看情況使用，如果很可能是指令碼或機器人，就使用它。
• 阻止機器人。機器人檢測響應。
• 審查訪問控制。定期審查員工的訪問許可權，尤其是那些可以訪問關鍵系統的員工。這類員工應該優先接受釣魚培訓。
• 留意新註冊的域名。釣魚網站通常使用新註冊的域名，這是釣魚攻擊的一個明顯的標誌，因為犯罪分子只是臨時使用該域名，然後快速地廢棄它們。根據 Webroot 在 9 月份收集到的資料，一週之後只有 62% 的釣魚域名還活躍； 38% 的釣魚域名都消失了。
• 實施網路欺詐檢測。您的客戶也可能會遭到釣魚攻擊，並被惡意軟體感染。實施網路欺詐檢測可以檢測受感染的客戶端，以阻止欺詐性交易的發生。
• 利用 honey tokens （蜜罐技術）。虛假的使用者賬戶和電子郵件地址可用於監測攻擊者是否在進行窮舉式釣魚攻擊。

釣魚事件響應

當客戶憑據被竊時：

• 向客戶傳送通知，警告他們小心可能的釣魚攻擊，併發送釣魚郵件的樣例截圖。建議點選了該釣魚郵件的員工立刻呼叫熱線尋求幫助。
• 立刻重置受影響使用者的密碼
• 建議客戶驗證他們的交易

當企業員工報告可疑的釣魚攻擊或已被成功釣魚時：

• 不要批判該員工；他只是被專業人士欺騙了。應該感謝他們報告了此事件。
• 假設還有其他使用者收到了相同的釣魚郵件，並且已經點選了郵件中的惡意連結或附件。
• 在郵件系統中掃描該釣魚郵件，從所有的郵箱中刪除該釣魚郵件。有很大的機會仍有人還沒來得及開啟該郵件，而且既然你已經知道了它的存在，你肯定不想還有人再中招。
• 重置所有受影響使用者的密碼。
• 向所有員工傳送警報資訊，包括誘餌的細節。

圖 22 ： F5 安全團隊向員工傳送的釣魚警報樣例

• 審查訪問日誌，檢查哪些人可能已經中招以及可能造成的損害。
• 保留事件執行報告的統計資訊。永遠不要讓危機白白浪費掉。網路釣魚攻擊的測量成本和潛在損害是一個 非常有用的統計資料 ，可以用於跟蹤未來風險支出的合理性。成功地阻止了攻擊也證明了現有安全措施和流程的價值所在。
• 擷取釣魚攻擊的圖片，以便用於安全意識培訓之中。一圖勝千言，向用戶展示企業內發生的真實犯罪者的真實攻擊十分有助於提升使用者的警醒意識。

結論

採取安全控制措施（包括安全意識培訓）總是要比發生資料洩露事件的成本要低。請注意一年內可能會發生多次釣魚攻擊，並且釣魚攻擊可能會快速惡化：一個郵箱被釣魚成功，然後攻擊者利用該郵箱欺騙更多的人。處理釣魚攻擊與處理應用程式中的漏洞有很大的不同，你可以通過正常的安全事件響應流程修復漏洞，但釣魚攻擊是一種社會工程攻擊，你不能在人的大腦中安裝修復補丁（至少目前還不能），或是使用防火牆阻止他們點選郵件中的連結和附件。

無論是從成功概率還是從可以收集大量資訊的角度來看，釣魚攻擊都非常有效，因此我們預計網路釣魚將繼續存在。從行政和技術角度來阻止網路釣魚攻擊至關重要。並沒有可以阻止釣魚攻擊的一站式安全控制措施，因此一個包含人員、流程和技術的綜合性控制框架可以有效減少企業面臨的釣魚風險。