网络钓鱼屡试不爽,如何识别并抵制钓鱼邮件?丨大东话安全
2022/3/2 中科院之声
一、小白剧场
大东:小白,最近有没有收到研究所的钓鱼预警啊?
小白:是那封伪装成疫情防控组织,让我们填写个人信息,配合疫情防控工作的邮件么,东哥?
大东:没错,办公室已经证实这是一封钓鱼邮件,已经群发告知了研究所的各位同学。
小白:还好,我没有点开,刚看到这封邮件的时候我就觉得有猫腻!可是他为什么会给研究所发钓鱼邮件,难道不知道我们的安全警觉性很高么?
大东:哈哈!只要提高警惕,抑制好奇心和侥幸心理,钓鱼邮件还是很容易辨别的。
钓鱼邮件(图片来自网络)
小白:既然钓鱼邮件这么容易被识破,攻击者为什么还要使用钓鱼邮件作为他们的攻击媒介呢,东哥?
大东:小白,你殊不知目前很多大型企业的员工培训还是存在很多安全隐患的,他们的确对网络攻击有针对性地采取了很多安全防护措施,甚至组建了专业的安全团队为公司的数据保驾护航。但他们往往疏忽了网络安全也要做到“以人为本”。
小白:网络安全的“以人为本”是什么呢?
大东:也就是员工的安全培训。攻击者也是抓住了这一缺口,肆意向员工散布钓鱼邮件,员工缺乏基本的安全意识,钓鱼便很容易得手,美国的许多大型企业就在这方面树立了“典型”。
小白:怎么会这么说呢?美国的诸多公司也频繁遭受钓鱼攻击了吗?
大东:别急小白,听我慢慢给你道来。
小白:好的,东哥,快讲吧!
二、话说事件
大东:2021年8月某安全供应商委托Ponemon研究所对美国近600名IT和IT安全从业人员进行了调查,编制了最新的网络钓鱼研究报告。
小白:Ponemon研究所是一家什么机构呢?
大东:Ponemon研究所于2002年成立,总部设在密歇根州。该研究所被认为是致力于隐私、数据保护和信息安全政策的卓越研究中心。致力于评估隐私和数据方面的安全信任度。
Ponemon Logo(图片来自网络)
小白:原来是行家啊!那他们做出的网络钓鱼研究报告上是怎么说的呢?
大东:报告指出,美国大型企业平均每年因与网络钓鱼相关的网络犯罪而损失1480万美元。
小白:每年就损失这么多,那他们每年都会做网络钓鱼的损失评估么?
大东:当然,今年的数据远高于2015年的380万美元,过去六年来,美国大型企业的网络钓鱼平均成本飙升了289%,年均损失近1500万美元。
企业钓鱼(图片来自网络)
小白:看来钓鱼攻击的势头每年都在增长,那这些钓鱼攻击的背后,都发生了哪些攻击呢,东哥?
大东:问到点子上了,小白。网络钓鱼凭据是勒索软件和商业电子邮件入侵 (BEC)的常见起点。
勒索攻击(图片来自网络)
小白:那勒索软件平均每年造成的损失有多少呢?
大东:研究称,勒索软件每年给大型企业造成570万美元的损失,而BEC则为600万美元。
小白:那这样看来,网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多啊,这是怎么一回事呢,东哥?
大东:这些只是官方给出的平均数字,在某些情况下它们可能会迅速升级。
小白:升级?这是什么意思呢?
大东:诸如Cognizant、Sopra Steria和Norsk Hydro在内的公司在遭受勒索软件攻击后,都造成了数千万美元的损失。
小白:为什么会出现损失升级的情况呢?
大东:Ponemon Institute创始人Larry Ponemon认为,企业在勒索软件攻击后的成本投入,可能远超过攻击本身的勒索赎金。
小白:可以详细说说出现什么情况导致的损失超出赎金本身了吗?
大东:他解释说,“我们发现,仅勒索软件就占勒索软件攻击成本的20%以下。网络钓鱼攻击增加了企业数据泄露和业务中断的可能性,公司投入的成本更多的是用于弥补生产力损失和问题修复,而不是支付给攻击者的实际赎金。”
小白;原来是勒索攻击造成的业务中断和数据泄露的损失啊,这的确不小!那我们该从哪些角度采取措施去降低损失呢?
三、大话始末
大东:根据Proofpoint的数据,自2015年以来,解决恶意软件感染的成本翻了一番,从338,098美元增加到了807,506美元。然而,影响利润的不仅仅是恶意软件。
小白:那还有什么呢?
大东:该报告称,遏制初始凭证网络钓鱼攻击的平均成本从2015年的381,920美元增加到了2021年的692,531美元。企业通常每年会经历五次以上的此类事件。
小白:看来还是要从源头——钓鱼邮件入手啊!那我们该怎样识别并抵制钓鱼邮件呢?
大东:在讲述钓鱼邮件的防护手段之前,我们先来回顾一下钓鱼邮件的攻击形式。
小白:好的!
大东:常见的网络钓鱼攻击形式主要包含以下几种,如CEO欺诈或商务邮件欺诈(BEC)、克隆网络钓鱼、域欺骗(Pharming)、鱼叉式网络钓鱼(Spear phishing)、水坑攻击(Watering Hole)、鲸钓攻击(Whaling Attack)。
小白:原来有这么多种啊,东哥给我讲讲这些都是怎么个攻击形式,他们之间又有什么区别呗?
大东:BEC就是假装公司的高管,向低级别的员工比如财务部门的员工发送电子邮件,而他们发送这些电子邮件就是为了获取商业机密信息或者让受害者把资金转移到攻击者的虚假账户。
小白:那这就是利用身份的特殊性,降低受害者的警觉性了啊,其他的呢?
大东:克隆网络钓鱼就是利用受害者已经收到的正当信息来仿真创建恶意脚本,再以上一封电子邮件的链接有问题为理由,要求重新发送原始邮件,从而引诱用户点击克隆过的钓鱼邮件。
小白:这个也很高明。
大东:域欺骗(Pharming)则是伪造一个新的电子邮件地址,这样它看起来就像是来自一家合法公司的邮件地址。或者通过创建一个新的域名看上去是像是与合法公司相似域名的欺诈网站来进行欺骗。
小白:表面看上去人畜无害,暗藏杀机!
大东:鱼叉式网络钓鱼(Spear phishing)是使用社交工程的思想来定制个性化的电子邮件,再将此电子邮件发送给组织内的特定个人。一般来说,攻击者会将受害者感兴趣的主题作为电子邮件的主题,因为这样更容易欺骗他们打开邮件并点击链接或者附件。
小白:这种形式的邮件我们经常见到,需要格外留意!
大东:水坑攻击(Watering Hole)通过攻击并且感染公司日常访问的网站并植入恶意软件,这样当公司员工访问该网站时,电脑就会自动安装恶意软件,从而方便攻击者访问网络、服务器等资源和敏感信息了。
小白:这种形式是大型公司经常遇到的!
大东:鲸钓攻击(Whaling Attack)其实也是鱼叉式钓鱼的一种,但是它与CEO欺诈截然不同。鲸钓攻击者的目标人群是公司高层,比如CEO,该攻击的目的是引诱公司的高层人员输入公司敏感信息。
小白:换汤不换药啊,这么多种类型的攻击,我们该如何作出防御呢?
四、小白内心说
大东:说道安全防护,往往需要从两方面入手,一是技术层面,二是“以人为本”。
小白:技术层面我懂,什么是“以人为本”啊?
大东:先别急,我先讲讲技术层面我们该怎样作出防护。
小白:好的。
大东:首先就是要实施专家规则。大部分的银行和企业都应该已经有现成的安全基础架构,旨在防止攻击者进入。但更重要的一点是,可以调整任何适当的安全规则,以便在风险增加时,可以将系统设置为以较低的信任级别运行。
小白:可以举个例子吗?
大东:例如,员工或银行客户可能需要执行其他身份验证步骤才能访问数据。银行还可以调整任何欺诈评分模型的阈值,从而允许更多的误报,以阻止欺诈行为。
小白:原来是这样,那还有别的层面的防护手段吗?
大东:再有就是采用多层安全性方法,一层不行两层,两层不行三层!
小白:好家伙,有必要弄这么多层吗?
大东:当然!攻击者获取的敏感信息越多,他们成功发起突破或网络钓鱼攻击的机会就越大。为了更有效地检测和防御这些威胁,企业和银行需要采用多层,动态的网络安全方法。
小白:具体有哪几层呢哥?
大东:比如结合多种身份验证工具:多因素身份验证、行为分析、生物识别技术等。
小白:说了这么多技术手段,那什么又是“以人为本”呢?
大东:所谓以人为本,便是做好员工的安全培训,尤其加强网络钓鱼的场景培训,身经百战才能在实际工作中提高安全意识,进而从源头上阻止网络钓鱼攻击威胁。
参考资料:
1. 网络钓鱼让大型企业年均损失1500万美元
https://new.qq.com/omn/20210820/20210820A05AS700.html
2. ponemon官网
https://www.ponemon.org/
3. 常见网络钓鱼攻击类型
https://blog.csdn.net/ovowovo/article/details/112507597
4. 防护网络钓鱼和恶意软件攻击的4种方法
http://www.east263.com/news/jsj/wlzs/2020-03-24/2634.html
来源:中国科学院信息工程研究所
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
源网页 http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药