据雷锋网公众号消息,某知名互联网门户因钓鱼邮件导致员工工资卡内余额被盗。随后25日中午,微博名为“搜狐charles”用户发布信息称,因搜狐员工内部邮箱被盗,进而受到网络钓鱼攻击,并表示目前技术部门及时介入,损失较小。

图注:微博“搜狐charles”用户发布信息说明引发此次钓鱼攻击的原因,并表示事态已得到控制
综合当前信息进行溯源追踪,经微步在线情报局确认,这是Ganb黑产组织(微步在线内部命名)发起的又一次“网络钓鱼”攻击。微步在线情报局最早在去年就追踪到这一网络钓鱼组织,该组织在今年3月首先针对境内金融行业发起过一波“钓鱼邮件”攻击。

图注:Ganb黑产组织在今年3月的网络钓鱼攻击中所使用的附件正文与二维码
经溯源可推断,此次钓鱼攻击中,该黑产组织首先盗取了某员工的内部邮箱密码,然后冒充财务部门群发邮件,该组织利用DGA域名生成技术,生成了大量用于做为跳板的DGA域名,将其制成二维码。受害者通过手机扫描二维码来解析到对应的钓鱼页面。

图注:Ganb黑产组织在今年3月发起的钓鱼攻击中,扫码跳转后的网页截图,要求受害者输入身份证、银行卡以及卡内余额等信息
由于疫情与全球经济低迷影响,不管是OneDNS还是第三方数据统计都表明,网络钓鱼攻击的覆盖范围和频率正显著上升,据OneDNS针对2021年的网络威胁拦截情况数据显示,在2021年前三季度,网络钓鱼攻击频次相对较为稳定,但到第四季度,其攻击频次陡增,全年40%以上的钓鱼攻击都发生在第四季度。

图注:OneDNS针对2021年网络钓鱼攻击统计,在第四季度,网络钓鱼攻击频次大幅提升,相比第三季度,增长了近1.5倍以上
同时,除了攻击频次增长以外,用于网络钓鱼的域名数量也大幅增加,从OneDNS的统计数据来看,尽管2021年前三季度网络攻击频次相对稳定,但追踪到的用于网络钓鱼的域名数量一直成倍数增长,第四季度用于网络钓鱼的域名几乎是第一季度的9倍。

图注:OneDNS追踪到的,2021全年用于网络钓鱼的域名数量增长情况
用于网络钓鱼的域名数量成倍增长,一方面是因为攻防双方的对抗升级,让黑客团伙不得不投入更多的域名以实现更大范围的攻击。另一个更重要的原因在于,据微步在线情报局针对Ganb黑产组织的追踪显示,该组织采用了“一人开发,分销多人”的模式,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限,涉及多人。
正是因为这种相对精细化的“合作-分工”模式,不仅让网络钓鱼的“效率”更高,同时攻击范围也进一步扩大,行业覆盖极为广泛。

图注:据OneDNS针对2021年网络钓鱼攻击统计数据显示,网络钓鱼攻击广泛分布在国内各个区域,其中以“长三角”为代表的华东区域是网络钓鱼的重灾区

图注:网络钓鱼攻击所针对的行业分布情况
从上图可以看到,网络钓鱼特别青睐于金融行业,同时又对其他行业进行无差别攻击。据微步在线情报局提供的追踪数据显示,引发此次钓鱼攻击的Ganb黑产组织在今年3月首先就对我国金融行业相关企业进行过一波网络钓鱼攻击,随后通过“多人分销”的模式扩散至其他行业。
目前针对钓鱼邮件的防范,技术方面大多通过诸如安全邮件网关进行过滤,或者终端安全软件进行防护。但更主要的还是靠提高员工的安全意识,比如仔细核对网址、妥善保管并定期修改密码等等。
但网络钓鱼攻击通常都基于社会工程学,利用了员工的心理漏洞,绕过了企业的被动防御技术/措施,从而导致“中招”,这是网络钓鱼攻击屡屡得手最关键的因素之一,这就形成了目前的尴尬局面,防范网络钓鱼大多靠员工自觉,需要有“火眼金睛”去甄别。
被动防御难以奏效,这就要求安全从业者从一个新的角度,通过新的方法去主动防御。比如微步在线的OneDNS,通过DNS与威胁情报相结合,在点击链接或“扫码”跳转到“钓鱼网站”时,针对域名进行甄别,一旦发现是网络钓鱼等恶意域名时,就停止解析并返回拦截页面,提示访问有风险。

图注:OneDNS拦截页面,OneDNS在域名解析时,会与威胁情报库比对,一旦发现是恶意域名,就会停止解析,并返回拦截页面
如果您也担心或正在为网络/邮件钓鱼烦恼,那么不妨试试OneDNS。
点击下面链接,即可免费使用OneDNS企业版90天
https://page.ma.scrmtech.com/landing-page/index?pf_uid=15831_1728&id=11278&channel=28881