基本概念
“网络垂钓”是上世纪90年代中期盛行的一种网路诈欺行为,其中最主要的功击手段就是“钓鱼电邮”。1996年首先在日本发觉,后迅速扩散到其他国家和地区。近几年,“钓鱼邮件”攻击在我国呈现逐年上升,最常见的一种方法是:攻击者预先制做一个以假乱真的钓鱼网站,然后通过在电子邮件中植入钓鱼网站链接,引诱人们点击步入以假乱真的网站,骗取用户名、密码、个人信息等重要数据,或植入木马等恶意程序,从而造成遭到重大损失。该功击形式常常包含社会工程学信息,欺骗性很强,人们很容易上当受骗。那么,什么是垂钓电邮?如何辨识垂钓电邮?中招了怎样办?
(一)什么是垂钓电邮
钓鱼电邮是指攻击者伪装成朋友、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方法,诱使用户点击嵌入电邮正文的恶意链接或则打开电邮附件的恶意程序,进而盗取用户敏感数据、个人建行帐户、邮箱帐户和密码等信息,或者在设备上执行恶意代码以施行进一步的网路功击活动。
(二)钓鱼电邮的害处
钓鱼电邮通过蕴涵的恶意链接或附送的恶意程序,窃取用户重要个人信息或政府企业敏感信息,可能导致直接或间接经济损失,甚至害处国家安全。
三、钓鱼电邮主要功击形式
攻击者通过垂钓电邮达成功击目的主要有两种方法,第一种通过假冒权威机构或则与收货人有关联系人发送短信,降低寄件人戒心,提高打开垂钓电邮可能性;第二种通过借助社会工程学或则暴力破解方法直接获得目标寄件人邮箱帐号凭据,之后搜集目标寄件人邮箱信息。从功击手法来看,钓鱼电邮前期须要对目标寄件人进行信息搜集,通过社会工程学引导,利用人性弱点,提高寄件人对垂钓短信的信任度,诱导寄件人点击垂钓短信中的恶意附件或恶意链接。
(一)通过社会工程学提升信任度
钓鱼电邮经常通过伪装身分发送电子邮件的形式进行,其伪装的身分包括但不限于:上级领导或上级单位、组织的信息网路管理人员、同事、有工作往来的其他组织的人员、银行、社保服务等外部服务,其目的主要是为了套取寄件人的信任,使其相信电邮内容的真实性,并根据电邮内容进行操作,从而达到其目的。如下图所示,其伪装成系统管理员侵吞寄件人的信任:
图1伪装成系统管理员的垂钓电邮
钓鱼电邮会通过话术,进一步引导寄件人填写内容。如下方垂钓电邮,主题为“纪检委:通知”,邮件附件打开后显示一个表格,但是内容十分模糊难以辨识,文档下方提示“如看不清图片内容请复制链接到浏览器登陆查看详情”,进一步引导用户复制垂钓链接打开恶意网站,从而达到搜集用户帐户密码的目的。
图2假扮纪检委通知的垂钓电邮
图3某垂钓电邮正文
攻击者还可能借助普通人对个人信息保护观念的缺位和人性弱点进行诱导。如给老年人发打折促销返现链接,给信用卡用户发提高额度或对奖链接等。如图是主题为“【财政部】关于发布年终最新薪资补助通知”的垂钓电邮(如图3),通过使用具有吸引力的“补贴”为主题,利用用户对金钱的注重,达到功击目的。
图4借助二维码掩饰钓鱼链接
收件人扫码后,就会跳转到垂钓页面,诱导用户填写建行卡号、身份证号、手机号等敏感信息,攻击者以后会借助这种信息发起汇款恳求,通过受害者输入建行发来的验证码,攻击者就可以完成相关的汇款操作,成功施行盗窃。
图5垂钓页面搜集受害人交行卡验证码
钓鱼电邮主题和内容都会限定风波时间、数量,从而制造紧迫感,引导寄件人回复或参与活动,如“紧急通知”、“前1003折先到先得”、“报名时间截至XX,过时不候”、“在X点前完成密码重置”等等。图5垂钓短信以“紧急通知”为主题,并警告用户倘若不按要求进行操作帐号将不能使用,制造风波的紧迫感,压榨寄件人慎重思索的时间,促使寄件人迅速采取行动。如果寄件人点击垂钓电邮正文中的“升级初审”,将会跳转至攻击者特制的垂钓页面,从而搜集用户的相关帐号凭据,对用户导致损失。
图6垂钓电邮借助话术引导受害者点击
(二)利用第三方信誉增加受害者戒心
钓鱼电邮一般会伪装成具有公信力的第三方机构,以此减少用户戒心。例如假扮国家机构、公信机构(公安、公积金中心、社保中心、银行、购物网站等);冒充官方机构的机构(如大学生对考研、公务员培训、资格认证、简历求职等方向有需求);冒充管理方(如企业内邮箱管理员、邮箱服务商等)。钓鱼电邮都会通过伪装或爆破某个人邮箱给熟人发垂钓电邮,例如伪装成目标用户的领导、朋友、亲人、客户等等。或者通过直接获取目标寄件人有关联系人的邮箱帐号,借此发垂钓电邮,降低寄件人的戒心,从而达到功击目的。图6的垂钓电邮伪装为具有公信力的机构,并在正文内容使用“最后”、“终止”等字眼,试图通过制造紧迫感来使得寄件人采取行动,如果点击垂钓电邮正文内容中的选项,将跳转至恶意网页,攻击者将对用户信息进行搜集。
图7垂钓链接借助话术引导受害者点击
图7垂钓电邮首先使用“电邮安全警报”标题,提高寄件人阅读的紧迫感,其次假扮电子邮件服务商,降低用户提防心。在电邮中要求用户在24小时内回复,如果未经验证,将关掉寄件人电子邮件帐户,制造风波紧迫感,促使寄件人迅速对电邮作出回应。如果点击垂钓电邮正文链接,则会跳转至垂钓网页,并被要求输入帐号密码,从而达到盗取目标用户帐号目的。
图8垂钓电邮冒充电邮提供商
(三)攻击者攻打上游管理方
上游管理机构通常都有安全方案和安全举措,但因为其特殊性,也有成为攻击者目标的可能性,虽然目前此类案例数目并不多,但引起的害处更大。如果目标帐户上游管理方被功击沦陷,也可能被借助来发送垂钓电邮,例如:公司邮件服务器沦陷,邮箱服务商沦陷,DNS解析服务器沦陷等,攻击者直接借助沦陷帐号发送垂钓电邮,就能愈发容易达到其功击目的。