网络钓鱼作为服务开始在黑市售卖

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/07/04 10:17:54 459
文章来源:http://www.mottoin.com/detail/4096.html
Ahrd85OuU9ddBuW1mVHsRH3CqUbrMZbMrYGbyu75.png

        由于世界上大部分企业通信都是通过电子邮件完成的,诈骗者也就越来越倾向于通过网络钓鱼邮件来攻击企业用户,通过这些邮件,诈骗者可以窃取可用于BEC诈骗、社交工程或窃取公司机密的凭据。

        过去,要想发起一场网络钓鱼活动可不是一件容易的事,它要求攻击者具备一些技术知识来使用网络钓鱼工具包、破坏网站来托管用于窃取凭据的网络钓鱼登陆页面,以及创建真实的垃圾邮件活动。

        现在,技术在进步、经济在发展,只要肯花钱,即便一个什么都不懂的小白也能轻轻松松发起一场网络钓鱼活动。为了克服这种入门级的障碍,大家也是绞尽了脑汁。目前出现了一种提供网络钓鱼服务的新的犯罪网站,这些服务包括网络钓鱼套件以及成本很低的网络钓鱼页面托管形式。

网络钓鱼即服务推动网络钓鱼活动增长

        新的网络钓鱼即服务(PhaaS)网站不断出现,攻击者再也不需要入侵服务器来托管登录页面、开发自己的网络钓鱼工具包,只需要从各种网络钓鱼登录页面中选择一个,然后付款,就可以托管一个月了。

        可用的网络钓鱼模板包括Sharepoint、Office 365、LinkedIn、OneDrive、Google、Adobe、Dropbox、DocuSign等等,模板价格从30美元到80美元不等,还赠送一个月的页面托管服务,可以说非常贴心了。

HaSgD22EySBSMoO4iA44SiF6Er3qFF5pbsFxpfjE.png

        根据云安全提供商Cyren的一份新报告,这种新出现的服务使网络钓鱼活动迅速增长。“现在我们面临的问题是,技术高超的网络钓鱼开发人员采用商业模式让最菜的犯罪分子也能发起一场高级的网络钓鱼活动,我们现在发现的攻击性网络钓鱼活动与过去相比更省力、成本也更低”。

        这种服务保证网络钓鱼者的登陆页面可以保持一个月,这是否属实尚未可知。但只要购买了这种服务,攻击者便只需要关心垃圾邮件了,不需要开发自己的网络钓鱼工具包,也不需要入侵网站来托管登录页面。

        为了让他们的客户能更轻松的开展垃圾邮件活动,PhaaS服务还销售电子邮件模板,可用于针对特定用户群体。好了,这下攻击者来垃圾邮件都不需要担心了。

1H4Fb4tJ41ut6dFkTpCVT8Hc5EoEGxuwM0clkhp7.png

        不过这些信息的价格并不透明,买家需要通过ICQ联系网站所有者才能知道价格。

规避检测的方法越来越先进

        随着网络钓鱼活动的增长,用户的安全意识越来越高,安全软件的检测功能也越来越强大。因此,攻击者必须不断创新,让用户点击链接和规避检测。

        最近,有网络钓鱼活动假装是邮件帐户删除通知、未送达邮件提示和虚假语音邮件。所有这些电子邮件旨在让用户点击随附的链接,该链接会将用户重定向到要求登录凭据的登录页面。

vOf4RbrbBEva6MnIPbJUDkVouDuptxWJuk2gfRUg.png

        为了避免机器学习和安全软件的检测,网络钓鱼活动越来越多地利用规避技术。根据Cyren的说法, 87%的网络钓鱼活动现在正在利用的规避技术如下:

        HTML字符编码:此技术将网络钓鱼诈骗的HTML编码为自动扫描引擎的乱码,但对Web浏览器或电子邮件客户端来说可读。

        内容加密:这种技术不是对HTML进行编码,而是加密数据,然后在Web浏览器中查看时使用JavaScript对其进行解密。

        阻止检查:网络钓鱼工具包阻止各种IP地址、浏览器用户代理或referer访问目标网页,这是为了阻止Google、防病毒引擎或安全供应商的自动系统正确阅读该页面。

        内容注入:此技术使用合法但受感染的网站,该网站包含将目标用户重定向到目标网页的脚本。

        合法的云托管:网络钓鱼诈骗越来越多地使用Azure等合法云服务供应商来托管其登录页面。这样做可以将登录页面托管在Microsoft品牌URL(如windows.net)上,以使伪造页面看起来合法。此外,这些页面使用Microsoft的证书进行保护。


推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室