越來越多接受過安全意識培訓的員工不再輕易點擊郵件中的可疑鏈接,但是網(wǎng)絡(luò)釣魚攻擊者又找到了新的方法:二維碼釣魚郵件。
近日,安全公司Inky的研究人員發(fā)現(xiàn),網(wǎng)絡(luò)釣魚攻擊者開始發(fā)送大量包含二維碼圖片的釣魚郵件,這些電子郵件將二維碼嵌入郵件正文,以成功繞過安全保護,并可針對目標進行某種程度的定制,從而更容易欺騙收件人。
研究人員表示,在許多情況下,這些釣魚郵件來自收件人工作的企業(yè)內(nèi)部被盜電子郵件賬戶,這種來自內(nèi)部(可信)郵件地址的釣魚郵件會進一步提高攻擊的成功率。
Inky檢測到的二維碼釣魚郵件的主題大多是要求員工解決安全問題(下圖),例如缺少雙因素身份驗證注冊或更改密碼,并警告如果收件人未能及時操作,可能會產(chǎn)生后果。上當受騙的員工會用手機掃描郵件中的二維碼并被引導至一個偽裝成該公司合法站點的釣魚網(wǎng)站,用戶在釣魚網(wǎng)站輸入的賬戶密碼會被發(fā)送給攻擊者。
研究人員指出,此類二維碼釣魚郵件多為“噴射攻擊”,攻擊者會將郵件發(fā)送給盡可能多的目標用戶,以期待提高攻擊成功率。Inky的研究人員觀察到多個行業(yè)都受到了二維碼釣魚郵件的攻擊。在Inky檢測到的545封二維碼釣魚郵件中,目標受害者主要位于美國和澳大利亞,其中包括非營利組織、多家財富管理公司、管理顧問、土地測量師、建材公司等。
二維碼釣魚郵件的兩大特點
首先,二維碼釣魚郵件郵件不包含任何文本,只有一個圖片文件附件,能夠繞過基于文本分析的電子郵件安全方案。由于默認情況下,某些電子郵件程序和服務(wù)會自動直接在正文中顯示附件圖片,收件人通常不會意識到自己看到的郵件“正文”實際上是圖片(不包含文本)。
二維碼釣魚郵件的另一個顯著特征是:圖像中嵌入了一個二維碼,指向憑證收集站點。這加快的訪問釣魚站點的速度,并能夠有效降低員工意識到問題的可能性。二維碼指向的釣魚網(wǎng)站往往還會在登錄框的用戶名字段中預填收件人的電子郵件地址,這進一步產(chǎn)生安全錯覺,讓員工相信釣魚網(wǎng)站是合法站點。
對于注重隱私的人來說,修改電子郵件設(shè)置阻止加載遠程存儲的圖像不但是可行的,而且是值得推薦的。釣魚郵件攻擊者通過使用外部圖像來確定他們發(fā)送的消息是否已被打開,因為收件人的設(shè)備會與托管圖像的服務(wù)器建立連接。一些電子郵件服務(wù),例如Gmail和Thunderbird不會在正文中顯示附件圖片,但其它很多郵件客戶端或服務(wù)會顯示圖片附件。如果可能,建議企業(yè)和個人關(guān)閉此類客戶端或服務(wù)的圖片顯示功能。(編者:禁止在電子郵件正文中顯示圖片是柄雙刃劍,可能會產(chǎn)生用戶體驗問題或麻煩。)
二維碼釣魚郵件的防范
對于二維碼釣魚郵件的防御,安全專家們給出如下建議:
-
格外警惕含有二維碼的電子郵件
-
通過其它渠道(即通過電子郵件以外的渠道)與發(fā)件人核實,確認消息是否真實
-
小心檢查發(fā)件人地址,確保電子郵件來自其聲稱的地址
-
單擊電子郵件正文,查看是否可以復制和粘貼文本。如果沒有可復制的文本,需要格外警惕
-
在相關(guān)網(wǎng)絡(luò)安全意識培訓中增加對新型釣魚郵件內(nèi)容和攻擊方法的培訓內(nèi)容
人們往往誤以為網(wǎng)絡(luò)釣魚攻擊并不復雜,只要稍加注意(培訓)就能避免上當受騙。事實上,調(diào)查研究表明網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊最有效和最具成本效益的手段之一。根據(jù)AGG IT Services的數(shù)據(jù),全球每天發(fā)送高達34億封垃圾郵件,而Tessian的數(shù)據(jù)顯示,四分之一的員工表示他們在工作中點擊過網(wǎng)絡(luò)釣魚電子郵件。
無論企業(yè)投入多少預算構(gòu)筑強大的網(wǎng)絡(luò)安全防線,都可能因為一封釣魚郵件而土崩瓦解。因此,企業(yè)安全團隊需要對新型釣魚郵件攻擊的技術(shù)和策略保持高度關(guān)注。