几十年来,传统钓鱼邮件的头几步一贯没有发生变革:邮件含有恶意URL或附件。然而近年来,URL嵌入在网络钓鱼邮件中作为吸引目标受害者的初始手段,其到达目标受害者的速率远高于同样目的的附件。我们去年的数据显示,URL在2022年比较附件连续占主导地位,这有几个缘故原由:可滥用的可信域名、互联网上供应网络钓鱼根本举动步伐的免费做事以及重定向的规避效果。
与CredPhish干系的基于URL的网络钓鱼霸占很高的比例
URL连续占主导地位的这种趋势涌如今到达企业组织的钓鱼邮件中,许多企业组织都受到有名的安全电子邮件网关(SEG)的保护。
图1. 2021年和2022年,到达收件箱的基于URL的钓鱼邮件和基于附件的钓鱼邮件各自的份额。
基于URL的钓鱼邮件比基于附件的邮件更随意马虎逃脱SEG的检测,这可能有诸多缘故原由。如果可信域名被滥用,URL可能具有固有的信赖级别。SEG在识别恶意文件方面可能比识别URL来得更好。相称高比例的良性营销邮件含有来自来历不明的URL,因此很难与来自未知来源的恶意URL区分开来。除了SEG外,威胁分子有更充分的情由利用URL,由于在当今的事情环境中,用户可能更习气点击未知链接,而不是点击未知附件。图1中的两张图表显示,在2021年至2022年,基于URL的钓鱼邮件所占的份额没有显著变革,但连续比利用附件赶过四倍。利用附件所占的份额增加了大约3%。
传统的钓鱼邮件常日以盗取凭据或投递恶意软件为目标。附加的文件和嵌入的URL都可以用于实现这些目标中的任何一个。图2显示,只管投递恶意软件的电子邮件比凭据网络钓鱼邮件更多地利用附件作为领导受害者的方法,但两者都紧张由嵌入式URL发起。
图2. 比较2022年用于凭据网络钓鱼和恶意软件投递的恶意链接和恶意附件。
一样平常来说,我们估量会看到更高比例的URL涌如今凭据网络钓鱼中。这紧张是由于大多数凭据网络钓鱼的变体已经哀求利用URL。网络钓鱼即做事及其他预构建的网络钓鱼工具常常方向于利用URL。然而利用附件仍旧很常见,HTML和PDF等文件类型是凭据网络钓鱼邮件附件中最常见的类型。
如前所述,利用附件投递恶意软件比我们在凭据网络钓鱼活动中看到的更突出。这可能是由于大多数恶意软件投递已经哀求利用文件作为终极载荷,这意味着威胁分子已经有点熟习文件的利用。下面这种情形也很常见:威胁分子企图投递恶意软件,将恶意文件包含在受密码保护的ZIP压缩包中,以阻挡SEG剖析。这增加了我们看达到到终极用户的钓鱼邮件的数量。此外,QakBot和Emotet等一些更高等的大肆传播的恶意软件家族已知在邮件中利用附件,但它们也的确利用嵌入式URL。
钓鱼URL及其规避策略
钓鱼URL是目前最盛行的吸引受害者的方法,用在到达收件箱的钓鱼邮件中。威胁分子采取的钓鱼策略以绕过电子邮件安全根本举动步伐而出名,助长了这种环境。到达终极用户的钓鱼URL常常在嵌入式URL中利用以下策略之一(不过也存在其他策略):
• 可信域名——云做事等可信做事常常被威胁分子滥用以托管恶意内容。这意味着他们的钓鱼网站将托管在被终极用户和SEG等安全根本举动步伐视为可信的域名上。滥用这些做事的钓鱼邮件常常能成功地到达预定目标,由于这些域名无法被完备屏蔽。
• 公开可用的做事——威胁分子常常寻求免费或廉价的做事,以便在网络钓鱼活动中滥用这些做事。这常常乃至会导致他们的URL也有可信域名。任何免费或廉价的托管平台都面临被威胁分子滥用的风险。
• 多次重定向——这是一种常见的策略,嵌入在钓鱼邮件中的URL不是钓鱼攻击的第一阶段。通过利用多次重定向并创建有待剖析的恶意URL链,威胁分子常常可以从初始URL重定向到终极页面,终极页面被直接用于下载恶意软件或盗取凭据,而SEG来不及剖析。
图3. 利用恶意链接的钓鱼邮件示例。
恶意附件经配置后以到达收件箱
为了有效地利用网络钓鱼邮件中的恶意附件,可以采取许多潜在的策略。恶意附件有各种用场,包括直接获取凭据、加入已压缩的其他恶意文件、重定向到钓鱼URL、充当恶意软件的第一阶段下载器,以及其他许多用场。此外,所利用的附件类型常日取决于所投递的威胁。我们在含有恶意附件的网络钓鱼邮件中看到的一些最常见的策略如下:
• 受密码保护的文件——威胁分子常日利用受密码保护的文件(比如ZIP压缩包)来绕过安全机制,到达预定目标。Emotet因利用这种策略而臭名昭著,常常传播大量带有恶意Office文件的邮件,这些文件被压缩到受密码保护的ZIP压缩包中。密码常常放在预定目标随意马虎找到的地方,比如邮件正文。
• 不熟习的附件——威胁分子常常探求安全研究职员可能不知道、有机会绕过SEG的的新型附件。由于这种威胁大略、明显,大多数SEG会轻松捕获和阻挡直接附加的恶意可实行文件。然而威胁分子已意识到了这一点,最近我们看到QakBot威胁团伙发送直接附加的.ONE文件,这彷佛有效地躲避了SEG的检讨。
• 编码过的文件——文件编码是一种使恶意附件难以剖析的常见方法。HTML文件是威胁分子进行编码的一种非常盛行的文件类型,但编码是浩瀚文件类型中很常见的一种策略。
图4. 利用恶意附件的钓鱼邮件示例。
翻译自:https://cofense.com/blog/urls-4x-more-likely-than-phishing-attachments-to-reach-users/
from https://www.4hou.com/index.php/posts/3J7M
