本文整理了2023年企業(yè)安全團(tuán)隊(duì)需要重點(diǎn)關(guān)注的四大新型網(wǎng)絡(luò)釣魚(yú)攻擊。

1、以檢測(cè)的網(wǎng)絡(luò)釣魚(yú)新技術(shù)：SaaS到SaaS

SaaS到SaaS網(wǎng)絡(luò)釣魚(yú)可以在不接觸受害者本地計(jì)算機(jī)/網(wǎng)絡(luò)的情況下發(fā)動(dòng)攻擊，由于一切都發(fā)生在SaaS到SaaS之間，因此所有現(xiàn)有的安全措施(例如反垃圾郵件網(wǎng)關(guān)、沙盒和URL過(guò)濾)都不會(huì)檢測(cè)到威脅，也不會(huì)生成警報(bào)。

此外，隨著云辦公生產(chǎn)力和多用戶(hù)協(xié)作技術(shù)的興起，攻擊者現(xiàn)在可以在知名云基礎(chǔ)架構(gòu)上托管和共享惡意文檔、文件甚至惡意軟件，很難被發(fā)現(xiàn)。

根據(jù)CheckPoint的報(bào)告，自 2020年以來(lái)，使用“多階段”SaaS到SaaS網(wǎng)絡(luò)釣魚(yú)攻擊的趨勢(shì)持續(xù)增長(zhǎng)。

Saa到SaaS網(wǎng)絡(luò)釣魚(yú)攻擊流

網(wǎng)絡(luò)釣魚(yú)攻擊的第一階段通常是托管在云服務(wù)上的虛假發(fā)票或PDF文檔。這些文檔可以下載，但是，為了方便用戶(hù)，云服務(wù)一般會(huì)允許用戶(hù)在瀏覽器中打開(kāi)PDF進(jìn)行查看，導(dǎo)致此類(lèi)威脅很難被檢測(cè)到，因?yàn)椴灰欢〞?huì)觸發(fā)安全警告。正如8月份曝光的基于AWS云的網(wǎng)絡(luò)釣魚(yú)攻擊，如果企業(yè)只是在電子郵件的入口和出口實(shí)施網(wǎng)絡(luò)釣魚(yú)檢測(cè)，將永遠(yuǎn)不會(huì)檢測(cè)到此類(lèi)攻擊，因?yàn)獒烎~(yú)郵件中的云服務(wù)URL貌似合法，而之后的所有操作都發(fā)生在云端(瀏覽器中)。

2、多階段云網(wǎng)絡(luò)釣魚(yú)

多階段云網(wǎng)絡(luò)釣魚(yú)

今年早些時(shí)候，微軟曾警告說(shuō)，攻擊者正積極利用Azure AD發(fā)起全新的網(wǎng)絡(luò)釣魚(yú)攻擊，主要針對(duì)那些不使用多因素身份驗(yàn)證的人。

這種前所未見(jiàn)的網(wǎng)絡(luò)釣魚(yú)攻擊現(xiàn)在正快速增長(zhǎng)，攻擊者利用了BYOD(自帶設(shè)備)的功能，用被盜憑據(jù)進(jìn)行設(shè)備注冊(cè)，從而可以隨時(shí)隨地訪問(wèn)云身份驗(yàn)證。

這是一種新穎的攻擊技術(shù)，將傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)與第二階段甚至第三階段的操作相結(jié)合。第一階段像常規(guī)網(wǎng)絡(luò)釣魚(yú)攻擊一樣竊取員工的電子郵件賬戶(hù)。

然而，第二階段的目標(biāo)不是直接攻擊受害者，而是以受害者的名義在流氓設(shè)備上創(chuàng)建一個(gè)新的Office 365帳戶(hù)。然后用受害者的用戶(hù)帳戶(hù)(本案例中為其Azure Ad)發(fā)起內(nèi)部網(wǎng)絡(luò)釣魚(yú)攻擊，向公司內(nèi)部員工或客戶(hù)發(fā)送釣魚(yú)電子郵件。

攻擊者可以通過(guò)第一個(gè)受害者入侵其他受害者的賬戶(hù)，從而獲得更多控制權(quán)或找到更好的“宿主”，這種多階段內(nèi)部網(wǎng)絡(luò)釣魚(yú)攻擊看上去是合法的，甚至可以在公司的OneDrive或SharePoint系統(tǒng)上部署惡意軟件。

3、人工智能(ChatGPT)釣魚(yú)攻擊

根據(jù)HP Wolf Security的研究，網(wǎng)絡(luò)釣魚(yú)占惡意軟件攻擊的近90%。但最近大火的人工智能內(nèi)容生成技術(shù)ChatGPT可能會(huì)使情況變得更糟。這種智能AI聊天機(jī)器人可以根據(jù)劇本自動(dòng)套取用戶(hù)的個(gè)人信息，受害者甚至不知道他們正在與人工智能互動(dòng)。

Check Point Research最近發(fā)表了一篇有趣的文章(鏈接在文末)，展示了AI模型如何創(chuàng)建完整的感染流，從魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)到反向Shell。人工智能技術(shù)可以快速生成多個(gè)腳本，把復(fù)雜的攻擊過(guò)程自動(dòng)化，還能使用LLM的API生成其他惡意文件。

人工智能還帶來(lái)其他重大安全風(fēng)險(xiǎn)，像ChatGPT這樣的人工智能技術(shù)使攻擊者能夠?qū)⒋笠?guī)模網(wǎng)絡(luò)釣魚(yú)的數(shù)量與有針對(duì)性的攻擊(魚(yú)叉式網(wǎng)絡(luò)釣魚(yú))結(jié)合起來(lái)，發(fā)動(dòng)大規(guī)模針對(duì)性攻擊!例如，傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)攻擊會(huì)發(fā)送海量的電子郵件、短信和社交媒體帖子，但這些內(nèi)容很容易被發(fā)現(xiàn)，導(dǎo)致產(chǎn)量偏低。

通過(guò)人工智能聊天機(jī)器人，攻擊者可以在數(shù)秒鐘內(nèi)生成數(shù)百萬(wàn)條魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)消息。因此，在2023年，我們可能會(huì)看到一些大規(guī)模的個(gè)性化網(wǎng)絡(luò)釣魚(yú)，在幾分鐘內(nèi)發(fā)送數(shù)百萬(wàn)條針對(duì)不同用戶(hù)的獨(dú)特消息。這對(duì)安全團(tuán)隊(duì)來(lái)說(shuō)將是一個(gè)巨大的挑戰(zhàn)。

4、二維碼釣魚(yú)攻擊(QRishing)

越來(lái)越多的網(wǎng)絡(luò)釣魚(yú)攻擊開(kāi)始通過(guò)嵌入在電子郵件中的二維碼分發(fā)惡意軟件鏈接，這種方法能繞過(guò)大多數(shù)電子郵件安全解決方案的檢測(cè)。

一些攻擊者甚至在餐館或其他公共場(chǎng)所粘貼惡意二維碼。由于新冠疫情的防疫政策要求減少身體接觸，保持社交距離，二維碼的越來(lái)越頻繁和普遍，我們通過(guò)掃描二維碼點(diǎn)菜、檢查核酸、疫苗狀態(tài)或獲取其他公共信息。流行的社會(huì)工程策略是在網(wǎng)絡(luò)釣魚(yú)文本(短信+二維碼)或社交媒體平臺(tái)中插入虛假二維碼。用戶(hù)掃描惡意二維碼后，會(huì)被重定向到網(wǎng)絡(luò)釣魚(yú)站點(diǎn)，提示受害者登錄并竊取其賬戶(hù)密碼。

網(wǎng)絡(luò)釣魚(yú)的終極防御方法

根據(jù)行業(yè)統(tǒng)計(jì)數(shù)據(jù)，企業(yè)平均每天收到數(shù)十封網(wǎng)絡(luò)釣魚(yú)電子郵件，由于網(wǎng)絡(luò)釣魚(yú)導(dǎo)致的惡意軟件和勒索軟件攻擊造成的損失逐年增長(zhǎng)。以下是Zscaler報(bào)告給出的緩解新型網(wǎng)絡(luò)釣魚(yú)攻擊的建議：

1)了解風(fēng)險(xiǎn)，更好地為技術(shù)決策提供信息

2)利用自動(dòng)化工具和可操作的情報(bào)來(lái)減少網(wǎng)絡(luò)釣魚(yú)事件

3)實(shí)施零信任架構(gòu)，限制攻擊的破壞半徑

4)及時(shí)提供培訓(xùn)，以建立安全意識(shí)并促進(jìn)用戶(hù)報(bào)告事件

5)模擬網(wǎng)絡(luò)釣魚(yú)攻擊以識(shí)別流程中的安全差距6)采用多層網(wǎng)絡(luò)釣魚(yú)防御方法7)采用JIT身份與訪問(wèn)管理方案(無(wú)長(zhǎng)期特權(quán))

現(xiàn)實(shí)情況是，只要人為因素存在，就沒(méi)有企業(yè)能夠完全防止網(wǎng)絡(luò)釣魚(yú)。因此，從長(zhǎng)遠(yuǎn)來(lái)看，最佳防御策略就是采用零信任架構(gòu)來(lái)實(shí)現(xiàn)電子郵件安全，這也是多層防御方法的精細(xì)化設(shè)計(jì)：

電子郵件的零信任方法

電子郵件的零信任方法通過(guò)專(zhuān)注于身份驗(yàn)證(驗(yàn)證用戶(hù)/設(shè)備信任)來(lái)幫助企業(yè)防御電子郵件模擬攻擊，確保進(jìn)入公司環(huán)境或用戶(hù)收件箱的電子郵件來(lái)自合法的個(gè)人、品牌和域名。

來(lái)源：GoUpSec