您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
2023四大新型網(wǎng)絡釣魚攻擊
本文整理了2023年企業(yè)安全團隊需要重點關注的四大新型網(wǎng)絡釣魚攻擊。
1、以檢測的網(wǎng)絡釣魚新技術:SaaS到SaaS
SaaS到SaaS網(wǎng)絡釣魚可以在不接觸受害者本地計算機/網(wǎng)絡的情況下發(fā)動攻擊,由于一切都發(fā)生在SaaS到SaaS之間,因此所有現(xiàn)有的安全措施(例如反垃圾郵件網(wǎng)關、沙盒和URL過濾)都不會檢測到威脅,也不會生成警報。
此外,隨著云辦公生產(chǎn)力和多用戶協(xié)作技術的興起,攻擊者現(xiàn)在可以在知名云基礎架構(gòu)上托管和共享惡意文檔、文件甚至惡意軟件,很難被發(fā)現(xiàn)。
根據(jù)CheckPoint的報告,自 2020年以來,使用“多階段”SaaS到SaaS網(wǎng)絡釣魚攻擊的趨勢持續(xù)增長。
Saa到SaaS網(wǎng)絡釣魚攻擊流
網(wǎng)絡釣魚攻擊的第一階段通常是托管在云服務上的虛假發(fā)票或PDF文檔。這些文檔可以下載,但是,為了方便用戶,云服務一般會允許用戶在瀏覽器中打開PDF進行查看,導致此類威脅很難被檢測到,因為不一定會觸發(fā)安全警告。正如8月份曝光的基于AWS云的網(wǎng)絡釣魚攻擊,如果企業(yè)只是在電子郵件的入口和出口實施網(wǎng)絡釣魚檢測,將永遠不會檢測到此類攻擊,因為釣魚郵件中的云服務URL貌似合法,而之后的所有操作都發(fā)生在云端(瀏覽器中)。
2、多階段云網(wǎng)絡釣魚
多階段云網(wǎng)絡釣魚
今年早些時候,微軟曾警告說,攻擊者正積極利用Azure AD發(fā)起全新的網(wǎng)絡釣魚攻擊,主要針對那些不使用多因素身份驗證的人。
這種前所未見的網(wǎng)絡釣魚攻擊現(xiàn)在正快速增長,攻擊者利用了BYOD(自帶設備)的功能,用被盜憑據(jù)進行設備注冊,從而可以隨時隨地訪問云身份驗證。
這是一種新穎的攻擊技術,將傳統(tǒng)的網(wǎng)絡釣魚與第二階段甚至第三階段的操作相結(jié)合。第一階段像常規(guī)網(wǎng)絡釣魚攻擊一樣竊取員工的電子郵件賬戶。
然而,第二階段的目標不是直接攻擊受害者,而是以受害者的名義在流氓設備上創(chuàng)建一個新的Office 365帳戶。然后用受害者的用戶帳戶(本案例中為其Azure Ad)發(fā)起內(nèi)部網(wǎng)絡釣魚攻擊,向公司內(nèi)部員工或客戶發(fā)送釣魚電子郵件。
攻擊者可以通過第一個受害者入侵其他受害者的賬戶,從而獲得更多控制權(quán)或找到更好的“宿主”,這種多階段內(nèi)部網(wǎng)絡釣魚攻擊看上去是合法的,甚至可以在公司的OneDrive或SharePoint系統(tǒng)上部署惡意軟件。
3、人工智能(ChatGPT)釣魚攻擊
根據(jù)HP Wolf Security的研究,網(wǎng)絡釣魚占惡意軟件攻擊的近90%。但最近大火的人工智能內(nèi)容生成技術ChatGPT可能會使情況變得更糟。這種智能AI聊天機器人可以根據(jù)劇本自動套取用戶的個人信息,受害者甚至不知道他們正在與人工智能互動。
Check Point Research最近發(fā)表了一篇有趣的文章(鏈接在文末),展示了AI模型如何創(chuàng)建完整的感染流,從魚叉式網(wǎng)絡釣魚到反向Shell。人工智能技術可以快速生成多個腳本,把復雜的攻擊過程自動化,還能使用LLM的API生成其他惡意文件。
人工智能還帶來其他重大安全風險,像ChatGPT這樣的人工智能技術使攻擊者能夠?qū)⒋笠?guī)模網(wǎng)絡釣魚的數(shù)量與有針對性的攻擊(魚叉式網(wǎng)絡釣魚)結(jié)合起來,發(fā)動大規(guī)模針對性攻擊!例如,傳統(tǒng)網(wǎng)絡釣魚攻擊會發(fā)送海量的電子郵件、短信和社交媒體帖子,但這些內(nèi)容很容易被發(fā)現(xiàn),導致產(chǎn)量偏低。
通過人工智能聊天機器人,攻擊者可以在數(shù)秒鐘內(nèi)生成數(shù)百萬條魚叉式網(wǎng)絡釣魚消息。因此,在2023年,我們可能會看到一些大規(guī)模的個性化網(wǎng)絡釣魚,在幾分鐘內(nèi)發(fā)送數(shù)百萬條針對不同用戶的獨特消息。這對安全團隊來說將是一個巨大的挑戰(zhàn)。
4、二維碼釣魚攻擊(QRishing)
越來越多的網(wǎng)絡釣魚攻擊開始通過嵌入在電子郵件中的二維碼分發(fā)惡意軟件鏈接,這種方法能繞過大多數(shù)電子郵件安全解決方案的檢測。
一些攻擊者甚至在餐館或其他公共場所粘貼惡意二維碼。由于新冠疫情的防疫政策要求減少身體接觸,保持社交距離,二維碼的越來越頻繁和普遍,我們通過掃描二維碼點菜、檢查核酸、疫苗狀態(tài)或獲取其他公共信息。流行的社會工程策略是在網(wǎng)絡釣魚文本(短信+二維碼)或社交媒體平臺中插入虛假二維碼。用戶掃描惡意二維碼后,會被重定向到網(wǎng)絡釣魚站點,提示受害者登錄并竊取其賬戶密碼。
網(wǎng)絡釣魚的終極防御方法
根據(jù)行業(yè)統(tǒng)計數(shù)據(jù),企業(yè)平均每天收到數(shù)十封網(wǎng)絡釣魚電子郵件,由于網(wǎng)絡釣魚導致的惡意軟件和勒索軟件攻擊造成的損失逐年增長。以下是Zscaler報告給出的緩解新型網(wǎng)絡釣魚攻擊的建議:
1)了解風險,更好地為技術決策提供信息
2)利用自動化工具和可操作的情報來減少網(wǎng)絡釣魚事件
3)實施零信任架構(gòu),限制攻擊的破壞半徑
4)及時提供培訓,以建立安全意識并促進用戶報告事件
5)模擬網(wǎng)絡釣魚攻擊以識別流程中的安全差距6)采用多層網(wǎng)絡釣魚防御方法7)采用JIT身份與訪問管理方案(無長期特權(quán))
現(xiàn)實情況是,只要人為因素存在,就沒有企業(yè)能夠完全防止網(wǎng)絡釣魚。因此,從長遠來看,最佳防御策略就是采用零信任架構(gòu)來實現(xiàn)電子郵件安全,這也是多層防御方法的精細化設計:
電子郵件的零信任方法
電子郵件的零信任方法通過專注于身份驗證(驗證用戶/設備信任)來幫助企業(yè)防御電子郵件模擬攻擊,確保進入公司環(huán)境或用戶收件箱的電子郵件來自合法的個人、品牌和域名。
來源:GoUpSec