網絡罪犯為了繞過反網絡釣魚技術的偵測一直想盡辦法,甚至用到合法的電郵服務供應商 (ESP),在種種條件的配合下終於把危險的信件傳統到潛在受害者郵箱,只要稍一不慎便可能掉入陷阱。
借 ESP 提高電郵成功送抵機率
騙徒多年以來千方百計去繞過反網絡釣魚技術,而有部份活動甚至利用到電郵市場推廣服務去傳播網絡釣魚連結,而且成功送抵的機率更高,這些電郵服務供應商是專門提供發送電郵通訊的公司,根據 Kaspersky 的統計,透過這種方法傳播釣魚電郵有上升的趨勢。
透過 ESP 發送網絡釣魚成功的原因
很多公司對於經電郵來的威脅都十分重視,所以在電郵到達用戶的郵箱前,通常都需要通過防毒、防網絡釣魚和防垃圾郵件的引擎,這些引擎不但掃瞄訊息內容、標頭和連結,更會檢查發送者的聲譽和任何有關連的網站,風險指數就是根據以上的因素而評分,例如一封群發電郵來自一個不知名的發送者,由於看起來可疑,所以在保安算法內便會發出紅旗。
攻擊者很難找到解決方法,只要通過可信用的個體發送電郵,例如電郵市場推廣服務,就能解決有關的困難,因為這些服務不但是知名,不少保安方案供應商更會預設容許他們的 IP 地址通過,更有部份會跳過檢查有關的電郵,為攻擊者帶來不少「方便」。
ESP 發送的釣魚陷阱
常見的攻擊方法很簡單,釣魚電郵透過合法的電郵服務發送,即是網絡罪犯成為了目標服務的客戶,他們通常購買最低價的服務,因為購買在多也無用武之地,而且估計他們很快就會被發現和封鎖。
但也存在較特別的方式,使用 ESP 作為 URL 主機,在這種方法下,通訊會經由攻擊者自己的設施發出,例如,網絡罪犯可以建立一個測試的活動含有網絡釣魚 URL,然後發送給自己進行預覽,這時候 ESP 會為 URL 建立 proxy,而網絡罪犯就直接挪用該 proxy URL 用在網絡釣魚通訊內。也有些騙徒會建立看起來像電郵範本的釣魚網站,然後提供直接連結,不過較少人採用這種方法。
只要透過以上手法,新的 proxy URL 對防護機制而言是具有正面聲譽的存在,所以並不會攔截,而 ESP 也沒有處理那些電郵,看起來沒有問題所以也不會封鎖那些「顧客」(直至他們收到投訴之後),而這些方法有時候更會被用作針對性網絡釣魚攻擊。
ESP 的防範工作
被網絡罪犯當作工具,ESP 通常都不會坐以待斃,大部份都有自己的保安技術,對通過他們侵服器的訊息內容和連結進行掃瞄,並為經由他們網站遇到網約釣魚的人士提供指導。所以攻擊者方面也無意觸動 ESP 的神經,有時候會採取延遲式網絡釣魚連結,在測試訊息時是合法的連結,在稍後時改更為惡意連結。
防範措施
在很多時,群發電郵都會發送到公開的電郵地址,而更小心謹慎總會有機會接觸或點擊到可疑或惡意電郵,為了保護自己或公司的員工,我們建議:
- 除非是自己訂閱的特定電郵,否則不要打開標示為Mass Mailing的電郵,反正通常都沒有重要的通訊內容。
- IT 管理員可以使用有效的保安方案掃瞄所有傳入的電郵
Kaspersky 的 Security for Microsoft Office 365 和 Kaspersky Security for Mail Server都能協助商業用戶對抗來自電郵的網絡威脅。