近日Kaspersky的電郵防護產品改善了偵測針對性網絡釣魚和商用電郵入侵(BEC)攻擊,只要防護引擎因任何原因對電郵亮起紅旗,便會對比From和Reply To的域名,成果異常地有效,成功攔截大量相對精密的攻擊。
如何偵測精密電郵攻擊
針對性網絡釣魚攻擊為了提高可信性,當常內容都有一定長度,他們未必會透過電郵傳送木馬程式的附件,取而代之是把釣魚連結隱藏在多層詭計之中,這也是為何保安方案很少根據單一標準作出判斷,而是基於複數的可疑跡象,而對比From和Reply To也是其中一項標準。
對比標題的作用
大多數攻擊者即使對商業目標進行攻擊時,也不會花時間去騎劫合法的域名,反而利用管理員的專業知識不足,事實上網域和電郵憑證方法,例如Sender Policy Framework (SPF)、Domain-based Message Authentication, Reporting, and Conformance (DMARC),都存在不足之處,即使以上機制都啟動,但設定過於寬鬆以避免誤報的話,實際上也變得毫無用處。
這令不法之徒 (或APT攻擊者)可輕鬆取得目標機構的網域並放入From,甚至SMTP的標頭中,然而他們並非單純想傳送電郵,同時也想從中取得直接回覆,所以要把他們自己的電郵地址放到Reply To的位置,通常是一次性電郵地址或免費電郵服務,這也是令他們暴露的原因。
對比標題也並非絕對
不過即使是正常的電郵往來,From和Reply To也並不一定相同,有很多合法的情況電郵是發送和回覆是兩個不同伺服器,例如發送新聞通訊和行銷電子郵件,通過專門的電郵服務提供者發送,而它的客戶才是對回覆有興趣的機構,所以啟動From和Reply To的對比的話,經常會發生誤報。
資料來源:Kaspersky Blog
