信息來源:安全牛
網(wǎng)絡(luò)罪犯以進(jìn)行大規(guī)模攻擊聞名��,他們襲擊盡可能多的無辜受害者�?;旧希總€(gè)人都收到過來自尼日利亞王子��、外國銀行家或某個(gè)絕癥富婆的電子郵件�,承諾你只需舉手之勞就有豐厚回報(bào)��。網(wǎng)絡(luò)釣魚郵件簡直創(chuàng)意無限�,甚至還有承諾駐顏丹和愛情生活滋潤的�。當(dāng)然,要實(shí)現(xiàn)這些�,你只需要交出你的信用卡即可�。
最近一段時(shí)間,網(wǎng)絡(luò)罪犯的攻擊更傾向于“企業(yè)級(jí)”��。類似B2B銷售模式�,他們盯上精選目標(biāo),意圖以極度個(gè)性化的復(fù)雜技術(shù)��,獲得指數(shù)級(jí)的有效載荷��。這種被稱為魚叉式網(wǎng)絡(luò)釣魚的針對(duì)性攻擊��,會(huì)冒充公司雇員��、同事�、你的簽約銀行或流行網(wǎng)站服務(wù),對(duì)受害者行漏洞利用活動(dòng)��。魚叉式網(wǎng)絡(luò)釣魚一直在穩(wěn)步上升��。據(jù)FBI透露,這類社會(huì)工程方法已被證明是極為有利可圖的��。更糟糕的是��,魚叉式網(wǎng)絡(luò)釣魚神出鬼沒��,用傳統(tǒng)安全解決方案難以防止�。
社會(huì)工程最新的進(jìn)化發(fā)展,涉及到多個(gè)預(yù)設(shè)步驟�。網(wǎng)絡(luò)罪犯是狩獵受害者,而不是突兀地給目標(biāo)公司高管發(fā)送電匯欺詐郵件��。他們會(huì)先從管理員郵件賬戶或低級(jí)員工��,滲透進(jìn)目標(biāo)公司��,然后開展偵察��,等待最恰當(dāng)?shù)臅r(shí)機(jī)再從被黑郵件賬戶向高管發(fā)出誘騙郵件�。
此類魚叉式網(wǎng)絡(luò)釣魚攻擊中常用的步驟如下��,阻止攻擊者的解決方案也一并奉上�。
攻擊步驟 1:滲透
大多數(shù)網(wǎng)絡(luò)釣魚嘗試,只要經(jīng)過網(wǎng)絡(luò)安全培訓(xùn)的人(高管和IT團(tuán)隊(duì)等)��,都可以一眼看出。這些郵件的地址往往很奇怪�,要求很大膽,且遍布語法錯(cuò)誤��,通常都是一刪了之��。然而��,特別難以識(shí)別的個(gè)性化攻擊最近有了明顯增加��,尤其是那些沒有經(jīng)過培訓(xùn)的人�,通常都會(huì)上鉤。
很多時(shí)候��,此類攻擊的唯一缺陷�,就是當(dāng)你鼠標(biāo)懸停到郵件中惡意鏈接之上時(shí),會(huì)顯示出真實(shí)的惡意地址��。經(jīng)過良好培訓(xùn)的人可以發(fā)現(xiàn)這一缺陷�,但普通員工不行。
為什么網(wǎng)絡(luò)罪犯會(huì)首先找尋容易下手的目標(biāo)��,原因正在于此�。中層銷售、市場營銷、客戶支持和運(yùn)營團(tuán)隊(duì)成員��,就是最普遍的目標(biāo)�。該初始攻擊,旨在盜取用戶名和口令�。攻擊者一旦操控了中層人員,只要這些人沒啟用多因子身份驗(yàn)證(很多企業(yè)都沒開啟)�,他們就能登錄賬戶。
攻擊步驟 2:偵察
這一階段��,網(wǎng)絡(luò)罪犯一般會(huì)監(jiān)視被盜賬戶�,研究其中郵件往來,收集該公司運(yùn)作機(jī)制��。大多數(shù)時(shí)候�,攻擊者會(huì)設(shè)置該賬戶的轉(zhuǎn)發(fā)規(guī)則,防止頻繁登錄�。對(duì)受害者郵件流量的分析,可使攻擊者更加了解該公司情況:誰決策��,誰負(fù)責(zé)或影響財(cái)務(wù)交易�,拿到人力資源信息等等�。這一步也為攻擊者打開了監(jiān)視受害公司與合作伙伴、客戶和供應(yīng)商之間通信的大門�。
這一步獲取到的信息,會(huì)被用于魚叉式網(wǎng)絡(luò)釣魚攻擊的最后一步��。
攻擊步驟 3:抽取價(jià)值
網(wǎng)絡(luò)罪犯利用上一步監(jiān)聽到的信息,發(fā)起針對(duì)性極強(qiáng)的魚叉式網(wǎng)絡(luò)釣魚攻擊��。他們通常會(huì)在客戶正準(zhǔn)備支付的時(shí)候��,發(fā)出虛假銀行賬戶信息�,還會(huì)誘騙雇員發(fā)送人力資源信息、匯款�,或指示受害者點(diǎn)擊惡意鏈接來收集額外的憑證和口令。由于發(fā)自合法(也就是被黑)賬戶�,比如某同事的郵箱,這些郵件看起來很正常�。前期偵察過程,也讓攻擊者可以精確模仿發(fā)家的語氣和文風(fēng)�。
于是,你該怎樣防住攻擊者��?
謝天謝地��,公司企業(yè)還有一些新希望和耳熟能詳?shù)姆椒?�,可以用來挫敗網(wǎng)絡(luò)罪犯的陰謀——多層防御策略��。
魚叉式網(wǎng)絡(luò)釣魚的末路
對(duì)抗魚叉式網(wǎng)絡(luò)釣魚�,公司企業(yè)應(yīng)做到以下3點(diǎn)。兩個(gè)甚為明顯的方面,是用戶意識(shí)及培訓(xùn)��,還有多因子身份驗(yàn)證�。最后一個(gè),也是攔截此類攻擊的最新技術(shù)�,是實(shí)時(shí)分析與人工智能。人工智能為終結(jié)當(dāng)今魚叉式網(wǎng)絡(luò)釣魚提供了最強(qiáng)的希望�。
防御策略1. AI防護(hù)
用人工智能抵擋魚叉式網(wǎng)絡(luò)釣魚聽起來有點(diǎn)科幻,遙不可及�,但實(shí)際上當(dāng)前市場已有此類產(chǎn)品,各種規(guī)模的企業(yè)都可用�,因?yàn)槊考夜径际菨撛谀繕?biāo)。
AI可以學(xué)習(xí)并分析給定公司特有的通信模式�,標(biāo)記不符合基線的行為。AI的本質(zhì)��,在于會(huì)隨著時(shí)間流逝變得更強(qiáng)大��、更聰明�、更有效,可實(shí)時(shí)隔離攻擊��,并識(shí)別出企業(yè)內(nèi)高風(fēng)險(xiǎn)人員�。
比如說,AI可自動(dòng)分類攻擊第一階段中的郵件��,將之標(biāo)記為魚叉式網(wǎng)絡(luò)釣魚��,甚至能檢測出被黑賬戶中的異?�;顒?dòng)�,從而封阻掉第2和第3步攻擊。AI還可以阻止域名欺騙和授權(quán)行為��,以防攻擊者冒充公司員工欺騙客戶��、合作伙伴和供應(yīng)商以盜取憑證�,染指他們的賬戶。
防御策略2. 身份驗(yàn)證
公司企業(yè)絕對(duì)有必要實(shí)現(xiàn)多因子身份驗(yàn)證(MFA)��。上述攻擊中�,如果多因子身份驗(yàn)證啟用,罪犯就無法登錄賬戶�。用于多因子身份驗(yàn)證的有效方法很多,包括短信驗(yàn)證碼或手機(jī)呼叫��、加密狗�、生物特征識(shí)別指紋、視網(wǎng)膜掃描��,甚至人臉識(shí)別��。
防御策略3. 針對(duì)性用戶培訓(xùn)
雇員應(yīng)接受經(jīng)常性的培訓(xùn)和測試,增加他們對(duì)最新最常見攻擊的認(rèn)知�。安排出于訓(xùn)練目的的模擬攻擊,是防止入侵和提升雇員警惕性的最有效方法��。對(duì)負(fù)責(zé)財(cái)務(wù)交易的員工或高風(fēng)險(xiǎn)雇員�,有必要對(duì)他們進(jìn)行欺詐模擬測試以評(píng)估他們的安全意識(shí)。最重要的是�,培訓(xùn)應(yīng)在全公司方位展開,而不應(yīng)僅針對(duì)高管��。
