freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

这样的钓鱼邮件,你会中招吗?
2022-02-23 14:55:10
所属地 上海

在一个风和日丽的工作日下午,你收到了一封由公司人力资源部门发来的工资单邮件,正疑惑今天并不是发薪日,但激动的小手已经在不经意间按下了鼠标,发现上面所写的工资跟预期少了许多,一封附件表格提醒你查看本月需要扣除的额外款项,你满怀疑惑,迫不及待地下载打开,殊不知,这个暗含恶意代码的附件已经悄悄植入到你的电脑中。

像这样的钓鱼邮件场景在近来已经屡次出现,根据CAC邮件安全大数据中心所做的一项调查,2021年第4季度,钓鱼邮件总量同比去年同期增长95.43%,邮件安全威胁的形势不容乐观。随着新冠疫情的持续,无论是个人网络行为还是企业办公,都越发依赖于网络,大量的网络数据流量对于一些网络犯罪分子而言无疑是隐形的提款机,无论是一目了然,还是真假难辨的钓鱼邮件纷至沓来。由于它们自身段位不同,有的是广撒网碰运气,有的则是精心炮制,定向攻破,无论哪种,都让我们深感危机四伏,稍有不慎便会落入圈套之中。

本文根据钓鱼邮件的伪装程度,分了三个“段位”。

段位一:就这你还想骗我?

这类钓鱼邮件,往往一看就很假,常见于:

恭喜,你的QQ号在XXX活动中喜获一等奖,请点击下方链接领取

或者:你的XXX账户存在安全风险,请点击XXX完善相关信息

这些广撒网的钓鱼邮件在前些年曾大量出现,由于没有特定的目标群体,内容空洞夸张,加之近来网络安全的逐渐普及,中招率极低,大多数人看到这样的邮件,心中都会冒出三个问号:这是啥?我有吗?就这还想骗我?

段位二:还好我多看了一眼,不然就中招了

清华大学曾做过一次钓鱼测验,向不少师生发送了一封《异常行为登录警告》的邮件,提醒收件人账号存在异常,个人信息可能被泄露,并在其中附了一个链接。

这封邮件乍一看有模有样,落款还是IT技术部门,但稍微多留意一下发件人地址,就会看到其中的端倪:“清华“的正确英文名为tsinghua,而该邮件为了逼真,对其进行了模仿,将i和n调换顺序,变成tsnighua。不少清华学子表示,自己差点就信了。

如果不幸点开其中的钓鱼链接,则会跳转到学校用户身份系统登录界面,在输入账号密码后会来到一个《开“奖”说明》页面,提醒这位受骗上当的同学未能识别出钓鱼邮件。

如果发生在现实钓鱼场景中,当受害者点击链接时,往往会被带往一个仿冒的相关账号登陆页面,用户一旦提交账号密码,便会将这些信息自动发送到攻击者服务器。这时,伪装的页面往往还会跳转至真实的登录页面,用户以为是自己刚刚输错了账号密码,其实这些信息已被攻击者成功盗走。

让我们再看一个案例。近期,国内某公司内部曾曝出如图所示的钓鱼邮件,该邮件以财务部发放年终工资补贴的名义,诱导员工扫描二维码,骗取起银行账户信息。

如果有人不慎上当,扫码后就会跳转到攻击者设计的钓鱼页面中,诱导填写银行卡号、身份证号、手机号等敏感信息,攻击者在收到这些信息后便会发起转账请求,受害则也会收到银行发来的验证码,输入后,攻击者就可以完成相关的转账操作,成功实施诈骗。

由于当时正值春节前夕,再加上看似官方的措辞,一些员工信以为真,结果造成了数额不菲的财产损失。

要识别这封钓鱼邮件,方法也很多,首先,简体、繁体中文混用的行文格式本身就很可疑,其次,国家单位也不会以任何二维码或链接的形式,要求登记个人信息发放补贴。此外,如果此类钓鱼邮件出现在公司内部邮箱中,很可能是由于已有公司员工中招,攻击者利用该员工账号在公司内部发送钓鱼邮件,如果发件人不属于公司人力资源或财务部门,也基本可以判断为钓鱼邮件。

段位三:我什么时候中的招?

正如本文开头所设想的场景,这一类钓鱼邮件由于伪装度较高,一般人在第一时间往往难以辨别。攻击者可窃取合法或者有较高权限的电子邮件账户,向目标发送钓鱼邮件,比如窃取公司内部人力资源管理者邮箱,向员工发送虚假工资单邮件,以骗取员工银行账户。

为了增加中招率,攻击者可谓是精通社会工程学的各种套路,除了以和个人息息相关的财产等为诱饵,随着新冠疫情的持续,利用人们对病毒的担忧所炮制的钓鱼邮件在近两年时有发生。

在如图所示的钓鱼邮件中,攻击者冒充当地医院,告知收件人的一位家人、朋友或同事病毒检测呈阳性,并敦促他们打印附件中的“紧急联系人”文件前往就近的检测中心。当用户下载并查看附件,恶意程序就会悄然下载并在计算机中自动运行。

此外攻击者还往往会对有价值的目标下手,比如希拉里的竞选团队曾收到过伪装成谷歌官方的钓鱼邮件,提醒密码可能已被盗用,建议按照内容提示修改密码,结果竞选团队主席约翰·波德斯塔轻信了邮件内容,点击了其中的恶意链接,其邮箱密码就成了攻击者的囊中之物。

如何识别钓鱼邮件?可从“5看”做起

我们以一封钓鱼邮件样本看起,从5个部分解构它的钓鱼把戏。

1.看发件人地址。如果是公司内的通知或工作邮件,发件人大多会使用公司专门的工作邮箱,如果是个人邮箱账号,或者是一些拼写很奇怪的邮箱地址,则需要提高警惕。此外,正如本文所列举的清华大学钓鱼邮件测试,要注意对正规邮箱账号的仿冒,尤其是对个别字母的移花接木。

2.看发件日期。无论是公司邮件,或是其它重要的通知类邮件,发件时间大多会在工作时间内,如果是在非工作时间,比如凌晨一两点,则需要提高警惕。

3.看正文措辞,对使用“亲爱的用户”、“亲爱的同事”等一些过于泛化,无法点名道姓的邮件保持警惕,对于一些制造紧张气氛、营造紧张气氛的措辞也要持怀疑态度,如要求“务必今日下班前完成”、“请立即单击此处”等,企图让人在慌乱中麻痹大意。

4.看正文中是否附带链接或二维码,切忌直接打开。钓鱼邮件使用短链接(例如http://t.cn/zWU7f71)或带链接的文字来迷惑用户。如果接到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件,在点开链接时,还应认真比对链接中的网址是否为单位网址,如果不是,则可能为钓鱼邮件。此外,对于同事或朋友邮箱发来的邮件,若对内容有任何存疑,也尽量事先向对方核实,以防攻击者通过利用“熟人”的邮箱传播钓鱼邮件。

5.看附件。不要随意点击下载邮件中的附件,word、pdf、excel、PPT、rar等文件都可能植入可自动运行的恶意代码或程序,尤其是附件中直接带有后缀为.exe、.bat的可执行文件。

由于钓鱼邮件是一种高度利用社会工程学的攻击方式,让它自20世纪90年代出现以来一直伴随着时代的发展和互联网技术的变革,而且愈演愈烈,成为当下主要的攻击方式之一。只要有网络,钓鱼邮件就会趁机而入,只要人们喜欢什么、在意什么、担心什么,钓鱼邮件总会以相应的形式出现,只要有什么大事和我们息息相关,钓鱼邮件也总能在第一时间捕风捉影、如法炮制。可见,最根本的防线还是在于人本身,如何根据实际情况和所处环境,加强分辨能力、提高自身抵御诱惑的能力,冷静分析,才是真正避免被钓鱼的关键。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录