1. 詐騙郵件總數(shù)比上季度上升 250% 以上
詐騙郵件可以分為商務電子郵件詐騙 (BEC��,Business Email Compromise) 與尼日利亞詐騙 (419scam) 兩大種類�。商務電子郵件詐騙主要是針對正與外部供應鏈從事商務洽談或執(zhí)行電匯時�,介入的復雜詐騙攻擊。而尼日利亞詐騙則是對全球不特定目標發(fā)送各種詐騙信息�����,內(nèi)容涵蓋了災難�、遺產(chǎn)或巨額資金轉移����、網(wǎng)絡交友����、募款等主題,對收件人進行詐騙���。不論是商務電子郵件詐騙或尼日利亞詐騙���,主要采用的都是社交工程手法,需與收件人互動�����。
由于商務電子郵件詐騙發(fā)動前��,需要先能入侵目標對象的電子郵箱����,并進行一段時間的監(jiān)測,才會在交易時����,發(fā)動商務電子郵件詐騙�。因此曾遭受商務電子郵件詐騙的企業(yè)單位��,多半已存在信息安全問題��;而尼日利亞詐騙只需要捏造故事��,并將這些故事發(fā)送給曾外泄的���、暴露在外的電子郵件地址�,接著等防備較弱的人上鉤�,就可以開始進行詐騙。兩者的攻擊難度差異甚大���,因此在 2019 年上半年����,這兩種詐騙的比率很穩(wěn)定���,商務電子郵件詐騙約占 2%,而尼日利亞詐騙高達 98%���;而整體的詐騙數(shù)量��,第二季度較第一季度上升了約 250% 以上�����。
通過 Google 翻譯后���,發(fā)送至華語地區(qū)國家的尼日利亞詐騙
2. 越來越多的合法空間遭到利用�,藉以掩護攻擊目的
ASRC 在第二季度持續(xù)觀察到新的合法空間被用來放置惡意文檔或文件���。這類攻擊郵件多半以很簡單的內(nèi)容附上一個合法域名的超鏈接����,希望收件人可以前往該鏈接以下載或開啟文檔����。
經(jīng)常遭到濫用的知名合法域名:
.web.core.windows.net
1drv.ms
.github.io
.oracle.com
drive.google.com
.appspot.com
.dropbox.com
這些域名的擁有者都是跨國的大型企業(yè),并為知名的網(wǎng)絡服務提供商����,因此,當收件人點擊這些鏈接時�,可逃過多數(shù)上網(wǎng)保護或管理機制的檢測,進而接觸存在風險的惡意文檔。
越來越多的合法空間���,遭到利用
2019 年上半年來自電子郵件的漏洞利用�����,前三名分別為 CVE20144114����、CVE20180802、CVE201711882����。這三個都是 Microsoft Office 漏洞,它們穩(wěn)定����、易觸發(fā)、全版本都可用�����,只要能夠引起使用者好奇,一旦附件被開啟����,不需要使用者再配合執(zhí)行其他動作�����,漏洞便會觸發(fā)執(zhí)行惡意軟件����,接著攻擊者便能取得計算機掌控權。
除此之外��,值得特別留意的是第一季度被揭露的 WinRAR 漏洞 CVE201820250 系列�����,在第二季度的攻擊范圍與數(shù)量都有明顯增加的趨勢����,攻擊普遍出現(xiàn)于金融、制造����、醫(yī)療���、石油等相關產(chǎn)業(yè)。這個漏洞幾乎都為針對型 APT 攻擊所利用���,不同前述利用目的較為多元的 Office 漏洞��。
4. 無文檔式攻擊���,讓防御更加艱巨
我們也從許多電子郵件的攻擊中觀察到無文檔式 (Fileless) 的攻擊,也稱為「離地攻擊」(living off the land)���。這類攻擊不必下載專用工具�,因此無從發(fā)現(xiàn)惡意軟件����!攻擊的初始可能從一份有害的惡意文件開始,在漏洞被觸發(fā)或以社交工程的方式成功促使收件人執(zhí)行 VBA 后�,開始使用受害者操作系統(tǒng)中種種合法工具,開始進行一連串的攻擊�,尤其是 Windows 上的 PowerShell,更是攻擊者的最愛�。這讓以偵測惡意軟件存在發(fā)現(xiàn)的防衛(wèi)手段,面臨艱巨的考驗�����。
400-001-9776
