針對性網絡釣魚顧名思義,即是具特定目標性的網絡釣魚攻擊,然而近年採用針對性技術用在大規模濫發有持續增長的趨勢,更有攻擊者把大量相關的精密攻擊技倆放到電郵內,但成效並沒有想像中理想。
偽裝公司指引更新電郵
電郵內的一切內容都準確無誤,指名特定機構內的特定人士,使用假的發送者名稱,在「From」內顯示的是合法的公司域名,然後經由有聲譽的行鎖公司發送電郵,可以成功穿過電郵過濾,而公司名稱及頂級的域名託管其網頁,也是為了麻痺收件者的警覺性,網站位於印尼,所以域名會出現「.id」,令人誤以為是「identifier」而非國家,提升了電郵的說服力。
電郵內容接近沒有內文,只有版權字及取消訂閱的連結,一兩者都是由合法傳送訊息公司的電郵引擎所加入,包括收件者名字在內都是圖片,此舉是為了防範反網絡釣魚機制以特定字作為過濾條件,PDF附件取代釣魚連結也是相同原因,網站能輕易在電郵伺服器層面加入黑名單和封鎖,但PDF檔案是完全合法的附件。
沒有文字和連結的PDF附件
攻擊者一直以來都有利用PDF檔內藏連結的做法,但理論上保安軟件能夠分析PDF,包括當中的任何文字和連結,而這次攻擊者則聰明地利用QR code取代連結,並內嵌附帶的文字,所以技術上PDF內並沒有內文或連結,而且PDF偽裝成DocuSign(知名的電子文件管理服務)界面,DocuSign容許用戶發送文件進行簽署和追蹤狀況,但PDF檔案內的QR code當然沒有以上的功能。
受害者收到看似是機密的公司指引電郵,但要閱讀它則需要利用流動電話掃瞄QR code,這個步驟在真實的公司內發生似乎不太真實,大部份員工都會直接無視,尤其員工使用非公司電話。
重大失誤:網絡釣魚網站
如果受害者真的利用電話掃瞄QR code的話,首先會看見Cloudflare的核實系統以確定是真人,Cloudflare是防範DDoS攻擊的合法服務,網絡犯罪份子喜歡把他們的網絡釣魚加入這服務以提升可信性,可惜之後卻是一場災難,網站首先是一個信封打開的動畫,然後便彈出錯誤訊息,明顯是攻擊者忘記更新託管服務,可能網站內藏更多準備對付受害者的技倆,可惜現在已宣告失敗。
防範網絡釣魚
保護員工免受網絡釣魚所害,需要:
- 在mail-gateway層面保護公司電郵
- 所有工作裝置使用具備反釣魚技術的保安方案(包括流動裝置)
- 通知員工最新的網絡釣魚技倆
- 為員工定期提供網絡安全意識培訓
資料來源:Kaspersky Blog
