網絡釣魚為了逃避過濾成功進入收件箱,一直以來都想盡辦法,不時改變方式去欺騙偵測機制,而其中一種方式就是延遲式網絡釣魚,在進入電郵伺服器前一切惡意的內容都沒有!
甚麼是延遲式網絡釣魚?
延遲式網絡釣魚是使用一種名為送抵後武器化 URL (Post-Delivery Weaponized URL) 技術,去引誘受害人前往惡意和假網站,顧名思義,這種技術是在連結成功透過電郵送給收件者後,才會替換成惡意網上內容的攻擊,通常連結都會指向已事先被入侵或受攻擊者控制的網站,在電郵成功通過收件者的電郵過濾之前,網站內全部都是合法正常的內容,因此保護機制在檢查時找不到危險的蛛絲馬跡。
一旦成功送抵,攻擊者便會把連結指向的網站便會更改內容或啟動惡意的內容 (最理想是在收件者未閱讀電郵前),而轉換的內容種類可以很廣泛,例如假銀行網站、安放漏洞放惡意程式進受害者電腦等,但 80% 的個案都涉及釣魚網站。
瞞騙反網絡釣魚機制
網絡罪犯使用以下其中一種方法,令電郵可以通過過濾:
- 使用簡單連結 – 在這種攻擊,犯罪者已經控制目標的網站,可能是由零開始創建,也可能是通過入侵的手段去撐握控制權,而大部份都傾向後者,並且向看似有良好聲譽或保安機制的網站下手,在電郵傳播的時間,連結內通常會指向沒有意義的內容或顯示 404 error 的網頁。
- 短連結轉換目標 – 網絡上有很多工具可以把長的網址轉換成短連結,優點是更方便使用、有效率和容易記住,說穿了其實是重新導向的一種,而其中有些服務讓用家可以更改短連結背後的目的地,在電郵送抵時該網址正指向合法網站,但在某個時間後可能被換成惡意的網站。
- 隨機的短連結 – 某連短連結工具容許概率的重新導向,例如連結有 50% 導向 Google.com 和 50% 機會指向釣魚網站,這種有機會通向合法網站的做法,有機會混淆自動收集資料的程式,從而影響判斷。
清晨傳送避免電郵被立即閱讀
為了讓攻擊者能把握比較確實的時間,在電郵送抵後收件者閱讀之前把網站內容更改為惡意版本,攻擊者通常都會在晚間發送電郵,他們假設收件者是正常上班一族,晚間睡覺,這樣釣魚電郵在清晨 (受害者的時區) 傳送,由於內容「清白」所以成功通過電郵過濾,但是到收件者在早餐時間打開電郵時連結已指向惡意的網站。如果是針對性的攻擊,攻擊者更可能先掌握收件者的日常規律,然後再看準時機把連結的網站切換到惡意版本。
發現延遲式網絡釣魚的方法
最理想的情況下,為了防止釣魚連結接觸到用戶,所以重新掃瞄看似是最好的策略,但只是在某些個案中可行,例如機構是使用 Microsoft Exchange 電郵伺服器。在今年 9 月 Kaspersky Security for Microsoft Exchange Server 支援重新掃瞄已進入郵箱的項目,適合的掃瞄時間設定既能偵測延遲網絡釣魚攻擊,也可避免在繁忙時間增加伺服器的負荷。
Kaspersky Security for Microsoft Exchange Server 更可以同時監察內部電郵 (沒通過 mail security gateway),以及不同的過濾條件,對於防止商務電郵入侵 (Business Email Compromise, BEC) 有一定重要功效。