越來(lái)越多接受過(guò)安全意識(shí)培訓(xùn)的員工不再輕易點(diǎn)擊郵件中的可疑鏈接,但是網(wǎng)絡(luò)釣魚攻擊者又找到了新的方法:二維碼釣魚郵件。
近日,安全公司Inky的研究人員發(fā)現(xiàn),網(wǎng)絡(luò)釣魚攻擊者開(kāi)始發(fā)送大量包含二維碼圖片的釣魚郵件,這些電子郵件將二維碼嵌入郵件正文,以成功繞過(guò)安全保護(hù),并可針對(duì)目標(biāo)進(jìn)行某種程度的定制,從而更容易欺騙收件人。
研究人員表示,在許多情況下,這些釣魚郵件來(lái)自收件人工作的企業(yè)內(nèi)部被盜電子郵件賬戶,這種來(lái)自內(nèi)部(可信)郵件地址的釣魚郵件會(huì)進(jìn)一步提高攻擊的成功率。
Inky檢測(cè)到的二維碼釣魚郵件的主題大多是要求員工解決安全問(wèn)題(下圖),例如缺少雙因素身份驗(yàn)證注冊(cè)或更改密碼,并警告如果收件人未能及時(shí)操作,可能會(huì)產(chǎn)生后果。上當(dāng)受騙的員工會(huì)用手機(jī)掃描郵件中的二維碼并被引導(dǎo)至一個(gè)偽裝成該公司合法站點(diǎn)的釣魚網(wǎng)站,用戶在釣魚網(wǎng)站輸入的賬戶密碼會(huì)被發(fā)送給攻擊者。
研究人員指出,此類二維碼釣魚郵件多為“噴射攻擊”,攻擊者會(huì)將郵件發(fā)送給盡可能多的目標(biāo)用戶,以期待提高攻擊成功率。Inky的研究人員觀察到多個(gè)行業(yè)都受到了二維碼釣魚郵件的攻擊。在Inky檢測(cè)到的545封二維碼釣魚郵件中,目標(biāo)受害者主要位于美國(guó)和澳大利亞,其中包括非營(yíng)利組織、多家財(cái)富管理公司、管理顧問(wèn)、土地測(cè)量師、建材公司等。
二維碼釣魚郵件的兩大特點(diǎn)
首先,二維碼釣魚郵件郵件不包含任何文本,只有一個(gè)圖片文件附件,能夠繞過(guò)基于文本分析的電子郵件安全方案。由于默認(rèn)情況下,某些電子郵件程序和服務(wù)會(huì)自動(dòng)直接在正文中顯示附件圖片,收件人通常不會(huì)意識(shí)到自己看到的郵件“正文”實(shí)際上是圖片(不包含文本)。
二維碼釣魚郵件的另一個(gè)顯著特征是:圖像中嵌入了一個(gè)二維碼,指向憑證收集站點(diǎn)。這加快的訪問(wèn)釣魚站點(diǎn)的速度,并能夠有效降低員工意識(shí)到問(wèn)題的可能性。二維碼指向的釣魚網(wǎng)站往往還會(huì)在登錄框的用戶名字段中預(yù)填收件人的電子郵件地址,這進(jìn)一步產(chǎn)生安全錯(cuò)覺(jué),讓員工相信釣魚網(wǎng)站是合法站點(diǎn)。
對(duì)于注重隱私的人來(lái)說(shuō),修改電子郵件設(shè)置阻止加載遠(yuǎn)程存儲(chǔ)的圖像不但是可行的,而且是值得推薦的。釣魚郵件攻擊者通過(guò)使用外部圖像來(lái)確定他們發(fā)送的消息是否已被打開(kāi),因?yàn)槭占说脑O(shè)備會(huì)與托管圖像的服務(wù)器建立連接。一些電子郵件服務(wù),例如Gmail和Thunderbird不會(huì)在正文中顯示附件圖片,但其它很多郵件客戶端或服務(wù)會(huì)顯示圖片附件。如果可能,建議企業(yè)和個(gè)人關(guān)閉此類客戶端或服務(wù)的圖片顯示功能。(編者:禁止在電子郵件正文中顯示圖片是柄雙刃劍,可能會(huì)產(chǎn)生用戶體驗(yàn)問(wèn)題或麻煩。)
二維碼釣魚郵件的防范
對(duì)于二維碼釣魚郵件的防御,安全專家們給出如下建議:
-
格外警惕含有二維碼的電子郵件
-
通過(guò)其它渠道(即通過(guò)電子郵件以外的渠道)與發(fā)件人核實(shí),確認(rèn)消息是否真實(shí)
-
小心檢查發(fā)件人地址,確保電子郵件來(lái)自其聲稱的地址
-
單擊電子郵件正文,查看是否可以復(fù)制和粘貼文本。如果沒(méi)有可復(fù)制的文本,需要格外警惕
-
在相關(guān)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)中增加對(duì)新型釣魚郵件內(nèi)容和攻擊方法的培訓(xùn)內(nèi)容
人們往往誤以為網(wǎng)絡(luò)釣魚攻擊并不復(fù)雜,只要稍加注意(培訓(xùn))就能避免上當(dāng)受騙。事實(shí)上,調(diào)查研究表明網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊最有效和最具成本效益的手段之一。根據(jù)AGG IT Services的數(shù)據(jù),全球每天發(fā)送高達(dá)34億封垃圾郵件,而Tessian的數(shù)據(jù)顯示,四分之一的員工表示他們?cè)诠ぷ髦悬c(diǎn)擊過(guò)網(wǎng)絡(luò)釣魚電子郵件。
無(wú)論企業(yè)投入多少預(yù)算構(gòu)筑強(qiáng)大的網(wǎng)絡(luò)安全防線,都可能因?yàn)橐环忉烎~郵件而土崩瓦解。因此,企業(yè)安全團(tuán)隊(duì)需要對(duì)新型釣魚郵件攻擊的技術(shù)和策略保持高度關(guān)注。