首页 / 科技 / 正文
要不是中招,这些钓鱼手法肯定想不到

Time:2024年11月19日 Read:64 评论:0

每次收到奇奇怪怪的邮件,群里总会有人在对答案:“这是在钓鱼么?”
大多数时候,这种情况都是单位组织的钓鱼演练。愈加频繁的演练,让很多员工都炼成了火眼金睛,发件人、邮箱地址、超链接、附件格式……哪里不对都能一眼看出来。

与此同时,钓鱼演练的0中招也掩盖了一些问题,员工更习惯于鉴别邮件或者聊天的安全性,演练结果似乎也皆大欢喜,但钓鱼攻击还远不止于此。


系统里的一个加急工单

早上9点,Shirley(化名)和往常一样准时抵达了工位。作为一名售后,处理客服系统里的工单是她的日常。


不多时,一条加急工单引起了她的注意,系统给出的标签是交易系统故障,内容如下:

你好,最近咱们线上商城支付系统总是出现卡单还是什么问题,支付后不显示订单信息,相关服务也不能正常使用。详细情况在附件里写了,麻烦帮忙加急处理一下。

类似的问题此前也有用户反馈过,多为网络延迟或者系统卡顿所致,唯一不同的是附件并不是常见的截图而是一个zip压缩包。


IM加码,客服系统钓鱼成功

由于是加急工单,Shirley直接就把附件下载了下来,解压后如下图所示。

令Shirley感觉到疑惑的是,在仔细查看完三张图片后,她并没有get到用户到底想反馈什么问题。恰在此时,系统内置的IM工具,弹出了来自该用户的消息:

带着些许疑惑,她点击了上面那个貌似word文档的exe文件,最终导致恶意代码执行。不过,微步终端安全管理平台OneSEC很快捕获了恶意行为。

图:OneSEC检测到Shellcode运行
后经发现,该样本为攻击队钓鱼木马,主要目的为窃取重要系统访问凭据并回传C2。在技术层面也并不复杂,为常见的白加黑绕过手法,EDR行为检测就可以检出。
真正难防的点在于投递入口选择了极为小众的工单系统,这是今年攻防演练中新兴的一种钓鱼手法,即便是企业常态化组织钓鱼演练,也主要聚焦于邮件钓鱼等传统钓鱼方式,导致用户压根就没想到这里也有木马。
这充分表明,只要信息传递通道,都有可能被攻击者用来钓鱼。即使是系统不允许上传或者发送文件,攻击者也可以在正文填写钓鱼网站、网盘链接等方式进行攻击。
而且随着社交化、SaaS化营销的不断普及,类似的通道会越来越多。

值得注意的是,除了寻找新的钓鱼入口之外,传统的钓鱼手法更是卷到飞起。


个人邮箱投递,绕过邮件网关拦截

毋庸置疑,邮件投递是最好防的,除了容易肉眼识别以外,部署邮件网关就可以拦截绝大多数钓鱼邮件。

不过,邮件网关通常只对企业邮箱生效。为了绕过邮件网关的拦截,许多攻击者开始尝试向个人邮箱投递钓鱼邮件,内容大多为求职、商业保险等看起来“不太方便”用户单位知道的事情。

如下图所示,攻击者以岗位JD为诱饵,向目标用户投递钓鱼邮件。

样本在下载运行后,OneSEC检测到有恶意Shellcode。


更加逼真的IM投递


相对于邮件投递,基于微信、飞书、脉脉等IM工具的投递,是更为有效的钓鱼方式。

尽管操作难度陡然增加,但仍然有相当一部分攻击者乐此不疲。而且,今年的攻击者变得更加有耐心,愿意花足够的时间完成钓鱼。

例如攻击者以招投标投诉的名义,通过微信向招标方直接钓鱼攻击。

OneSEC检测结果如下所示:

针对IM钓鱼,OneSEC上线了攻击面收敛功能,可在主流IM工具,对高风险文件格式进行拦截,可参考《半夜加班,突然有人和我抢鼠标》。

总体来看,不论何种钓鱼方式,精细化钓鱼都已经成为主流。随着常态化攻防演练的开展,攻击者拥有更加充足的时间,通过各种渠道搜集目标用户的信息,确保钓鱼攻击看起来更加真实可信。


· END ·


标签:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们
聚焦企业最新资讯,助力职业经理人把握企业动向。
留言本
留言本
免责声明
免责声明
投稿规则
投稿规则
扫码关注
Copyright 56ceo.com Rights Reserved. 京ICP备2021035958号-6