【技术分享】2017网络钓鱼趋势和情报报告---攻击人类(上)

https://p4.ssl.qhimg.com/t01f119468f7c081b3d.jpg

翻译:pwn_361

预估稿费:200RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


摘要

2016年网络钓鱼威胁景观发生了巨大变化,这是由两个变革事件导致的。在2015年针对中国的网络钓鱼攻击数量几乎翻倍后,到了2016年,针对中国的钓鱼攻击下降了48%。在五个最有针对性的行业中,网络钓鱼数量平均增长超过33%。有23%的网络钓鱼攻击针对的是金融机构,22.6%的网络钓鱼攻击针对的是云存储服务行业。针对游戏行业的攻击量同比急剧减少了75%,针对社交网络网站的钓鱼攻击下降了17%。80%的钓鱼网站托管在10个国家,然而,在美国的占到了59%。2016年,超过51%的钓鱼网站使用了“.com”顶级域名。网站身份认证方法使用邮箱作为登录用户名的结果是:很多用户在不同的网站中使用了相同的邮箱和密码,因此由撞库攻击带来的破坏性在不断增大。现代勒索软件在感染它们的目标上很成功,这有很多原因,不过最重要的原因是它们使用的传播方法利用了一个最薄弱环节—人类。到目前为止,勒索软件最普遍的传播方式是网络钓鱼邮件。


一、介绍

欢迎阅读2017网络钓鱼趋势和情报报告。本报告的目的不仅在于提供洞察威胁主体开展网络钓鱼攻击的重大趋势、工具、和使用的技术,同时也提供背景和观点来说明这些变化为什么会发生。

今天的网络钓鱼威胁景观和2016年刚开始的相比有惊人的不同,有两个变革的事件导致了预期的钓鱼威胁景观和情形发生了根本性的巨变。

第一个变革事件是根本性的,就是钓鱼攻击者的攻击目标发生了变化,这主要有两个因素,一是攻击者的动机在不断变化,二是因为目标身份认证方式从唯一用户名演化成广泛接受的邮件地址(以前,网站或系统身份认证时通常采用“用户名+密码”的方式,现在很多网站或系统已经采用了“邮箱+密码”的方式,这种变化带来了很大问题)。

2016年第二个变革事件是勒索软件的快速增加,并很快变成了公共瘟疫。大范围的网络钓鱼将继续是传播勒索最有效的方法。

这份报告提供了这些事件的第一手和深入的观点,以及其他直接来源于PhishLabs的关于对抗钓鱼攻击和钓鱼攻击背后威胁主体的观点。本报告中强调的趋势将有助于企业更好地评估现代钓鱼攻击的风险,并且我们希望这个详细的调查结果能更好的用于减缓那些风险。

PhishLabs R.A.I.D(研究、分析、和情报部门)由一些世界上最受尊敬的威胁研究人员组成,并撰写了这篇报告。PhishLabs有专门用于对抗钓鱼攻击的业务和技术系统,这篇报告中包含的信息和观点就是以此为基础的。

下面是我们报告的基础数据:

1.我们在2016年分析了近一百万个恶意钓鱼网站。

2.这些网站使用了超过170000个唯一域名(比2015年多23%)。

3.我们每个月调查并减少了超过7800次钓鱼攻击,确定了这些攻击中使用的基础架构,并关闭它们。

4.我们分析了来源于100多个勒索软件的变种和20多个银行木马的数千个独特的恶意软件样本。

5.领先的金融机构、社交媒体网站、医疗保健公司、零售商、保险公司和技术公司都使用了我们的服务,用于对抗网络钓鱼威胁。

6.从2008年,我们就一直在对抗网络钓鱼攻击。


二、概述

网络钓鱼是网络攻击的最大威胁向量。威胁主体以组织和个人的资产为目标时。网络攻击最有吸引力和最成功的方法仍然是利用人类的弱点。

2017网络钓鱼趋势和情报报告在网络钓鱼攻击和洞察这些攻击使用的技术方面,提供了趋势上的分析。它试图澄清谁在被攻击,并给出他们为什么被攻击的理由。阅读此报告的人将更好地了解网络钓鱼威胁,并更好的具备保护自己的能力。

2017网络钓鱼趋势和情报报告的重要结论是:

1.云存储网站可能会超越金融机构成为被钓鱼攻击最多的目标,这标志着钓鱼者在目标选择过程上发生了变化。

2.身份认证方法从唯一用户名变成了广泛接受的邮件地址,这个变化被严重利用,攻击者收获了大量凭据后,瞄准大量在线服务,通过凭据重用和其他方法进行二次攻击。

3.我们识别出了拥有170000个唯一域名的钓鱼网络,比上年增加了23%。

4.在五个最有针对性的行业中,网络钓鱼数量平均增长超过33%。

5.自2014年以来,针对政府税务机关的攻击增长超过300%。

6.2016年1月针对IRS的钓鱼攻击出现巨大增长(IRS网络钓鱼是骗子们冒充国税局给你发一封电子邮件,声称你逾期退税或你有税务问题,要求你点击邮件中的连接以便到IRS的网站上去澄清问题),比2015年全年的都多。

7.与前几年有所差别,由于全球主要事件的影响,如英国退欧,网络钓鱼数量在年中达到高峰。

8.全球钓鱼攻击瞄准美国实体的份额增长至超过81%。

9.对加拿大机构的攻击增长了237%,幅度超过其他任何国家。

10.59%的钓鱼网站托管在美国,托管在东欧的钓鱼网站数量有显着增加。

11.在2016年,超过一半的钓鱼网站使用了“.com”顶级域名,新的通用顶级域名正在成为网络钓鱼更受欢迎的选择,因为它们便宜,并且可以被用于创建令人相信的钓鱼网站域名。

12.收集了超过29000个钓鱼工具,超过三分之一使用了逃避检测的技术。

13.勒索软件是网络钓鱼传播的主要类型的恶意软件,正聚焦在那些更可能支付赎金的组织,如医疗保健、政府、关键基础设施、教育和小型企业。


三、钓鱼攻击景观的变化

虽然它总是变化,2016年,我们观察到钓鱼威胁景观的基本动态发生了显着的改变。这些变化正在深刻地改变钓鱼威胁景观,这将影响组织很多年。本节回顾了这些观察到的变化,并详细对它们进行研究探讨。

1.研究方法

在2016年,PhishLabs分析了近一百万个确定的恶意钓鱼网站,它们托管在超过170000个独立域名上,使用了超过66000个独立IP,本节详细的调查结果就是以些为基础得到的。在本报告的语境中,我们定义钓鱼“攻击”是指一个域名托管了网络钓鱼环境,网络钓鱼的“份额”是指某类攻击在整个攻击总量中所占的百分比,而“量”是指原始的、累积的攻击次数。在后面的文章中,请大家注意,有些行业遭受网络钓鱼攻击的量在增长,但是在所有行业遭受网络钓鱼攻击中所占的份额有可能在降低,这一点大家应该能理解。

2.如何进行网络钓鱼

通常,钓鱼者首先要攻下一个有漏洞的网站,或注册一个恶意的域名,然后钓鱼者将钓鱼环境托管在这些主机中,他们上传了一些压缩文件,包含所有创建一个钓鱼网站所需的东西,也被称为“网络钓鱼工具包”。通过分析这些工具包,我们能更好地了解到网络钓鱼者的策略和技巧,因为这些工具包含了发展一个成功网络钓鱼所用到的“配方”。对这些工具包进行逆向工程,可以帮助我们了解到它们的设计方案,从而,我们可以更好的识别出个别钓鱼网站。

除了包含一个钓鱼网站的基本单元外,这些工具包也包含用于给钓鱼者发送信息的脚本,这些信息是钓鱼攻击活动收集到的信息,这些信息通常会被发送到钓鱼者设置的临时邮件账户中,我们也看到,有时候这些信息也会被发送到诈骗者控制的另一个域名下,或甚至通过类似于XMPP的即时通讯协议发送。

3.谁是被攻击的目标

2016年,在五个最有针对性的行业中,网络钓鱼数量平均增长超过33%。到2017年年底,云存储网站有可能会取代金融机构的位置,成功被钓鱼攻击最多的目标,这个历史趋势的巨大转变,暗示着钓鱼者从他们的攻击获得了更多的利润。除了从金融账户寻找直接利润,钓鱼者采用了更多间接的赚钱方法。以前很多网站在登录认证时使用的是用户名和密码的方式,而目前很多网站已经使用了邮件地址和密码的方式。钓鱼者利用了这个现在被广泛使用的身份认证做法,通过向使用了此认证机制的流行在线服务发动钓鱼攻击,钓鱼者大规模收获了电子邮件地址/口令凭据对,攻击者可以使用它们攻击次要目标(通常通过口令重用攻击,也就是撞库攻击)。

在2016年,我们确定了568个母机构(私有公司、政府机构、学校等等)的976个品牌,它们成为了以消费者为中心的钓鱼攻击的目标。这是从2015年开始增长的,那时钓鱼攻击针对了559个母机构的895个品牌。到了2016年,有166个实体在以前不是钓鱼攻击的目标,相反的是,155个机构在2015是攻击的目标,但是到了2016年,不再是被攻击的目标了。

2016年,超过91%的钓鱼攻击以五个行业为主要目标:金融机构、云存储/托管服务器、基于万维网的电子邮件服务/在线服务、支付服务、和电子商务企业。在这五个行业中,2016年网络钓鱼数量平均增长超过33%。

金融机构是钓鱼者由来已久的选择,在2016年它仍然是最受欢迎的攻击目标,虽然在2016年,该行业的钓鱼攻击总数有轻微增长,但针对该行业的网络钓鱼攻击份额在近年来大幅下降。在2013年,针对金融机构的攻击占所有钓鱼攻击的三分之一以上,这个数字现在已经下降到仅占全球网络钓鱼总量的四分之一。

http://p6.qhimg.com/t01014faf07c4dd5791.jpg

可以看到针对金融机构的攻击份额下降了,而针对其他行业的攻击份额在大幅增加。这种趋势在云存储服务行业最为明显。在2013年,针对云存储行业的攻击少于10%,但是到了2016年。该行业的份额和金融机构的份额相比只少了一点点(22.6%比23%)。如果这种趋势还将继续,那么在2017年我们会看到云存储行业的份额可能会高于金融行业,成为被攻击最多的行业。值得注意的是,网络钓鱼攻击对云存储服务行业的影响几乎只针对两家公司:Google(Google Drive/Docs)和Dropbox。

下图显示的是份额在下降的两个行业:

http://p2.qhimg.com/t01f3a1bd125487d736.png

另一个在网络钓鱼攻击量上存在特殊增长的行业是软件即服务(SaaS)。在整个2015年,几乎看不到对这个行业的网络钓鱼攻击,但是在2015年后,针对这个行业的攻击量在2016年增长了近两倍。尽管在2016年针对该行业的攻击量只占到总量的2.1%,但是有可能这个数据在未来会继续增加,以该行业为目标的攻击会更加频繁。和云存储行业类似,软件即服务行业中的钓鱼攻击几乎只针对两家公司:Adobe和DocuSign。

前五个最有针对性的行业中,在最近四年中,只有基于万维网的电子邮件服务/在线服务行业受到的网络钓鱼攻击份额在持续增长。在这一时期,它从2013年的11%,持续增长到2016年的21%。

针对支付服务公司和电子商务网站的攻击量在2015年都有所下降,但是到了2016年,和2015年相比,又有了明显增加。2015年针对支付服务公司的攻击次数下降超过28%,是在攻击总量上唯一出现下降的行业。然而,在2016年,针对支付服务公司的攻击量又有所反弹,攻击量增长了80%,现在针对它的攻击量在总攻击量中占14%,然而,这远远低于2013年26%的份额,当时针对该行业的攻击量和其它行业的相比,该行业排在第二位。针对电子商务公司的攻击和2015年相比增长了44%,现在的份额占11%。

尽管2016年在大多数行业中,都看到了网络钓鱼攻击次数的增长,但是在少数行业中,攻击量又有所减少。如游戏行业,在2013年到2015年里都看到了稳定的增长,但是在2016年,针对该行业的攻击量急剧减少了75%,减少的比任何行业者都多。针对社交网络网站的网络钓鱼攻击在2015年有大量增长,但2016年和2015年相比,该行业遭受网络钓鱼攻击的次数下降了17%。

http://p6.qhimg.com/t0154601c011133609b.png

针对政府服务网络的钓鱼攻击在2016年也急剧增加。这种增长几乎完全由于对政府税收征管机构的网络钓鱼攻击在激增。自2014年,针对这些机构的攻击在份额上增长了300%。很明显,钓鱼者发现它们是非常有吸引力的目标。几乎所有针对政府税收征管机构的网络钓鱼攻击都发生在四个国家:加拿大(加拿大税务局)、法国(公共财政总局)、英国(英国税务海关总署)、美国(国内税务局)。

http://p3.qhimg.com/t01e07de1b718412f07.png

但是,产生这些变化的原因是什么呢?

因为一个根本性的变化在整体钓鱼威胁景观中正在发生。这个变化是:网络钓鱼威胁主体正在发展他们的战术,从而使他们的工作变得更容易,并将好用的功能内置到许多网站中。通过改变它们的目标和技术,钓鱼者有了一些变化:

1.更有效率的收集凭据。

2.专注于收集更广泛的信息,可以用来促进其他类型的犯罪。

3.转变的更间接,但可能更有利可图。

出现这个变化的主要原因是,在很多网站中都存在一个同样的弱点(账号密码重用导致的弱点),包括几乎所有的云存储服务和SaaS公司,我们已经看到以这些服务为目标的攻击正在大幅增长。这些服务允许它们的用户通过身份认证进入各自的账户,并且使用了邮箱和密码进行认证,代替了以前使用的用户名和密码的方式。这种方式带来的问题是它们的很多用户会简单的重复使用他们的邮箱和密码,而不是为每一个账户重新创建一个邮箱和密码对。

是什么驱动钓鱼者以他们为目标呢?

最近的趋势表明,网络钓鱼威胁主体先前公认的动机从根本上改变了。现在,钓鱼者选择目标时有三个主要动机:

1.立即接管账户—-钓鱼者可以偷取账户中的钱,或在地下市场中出售这些账号。

2.凭据增值—-钓鱼者可以利用这些通用账号(例如.邮箱账号)在更大的范围内发动撞库攻击。

3.数据多样化—-钓鱼者收集受害者的综合信息,这些信息可以利用到其它犯罪活动中,如身份盗窃、税收欺诈、或是在地下经济中出售这些信息来赚钱。

http://p3.qhimg.com/t017600d92169346aff.png

在钓鱼生态系统中,使用邮件地址作为一个账户的登录凭据是易被攻击的一个最大弱点。通过利用这个身份认证机制,云存储服务和SaaS网站给网络犯罪创造了一个巨大机会。通过以这些网站为目标,网络犯罪分子可以很容易地收获到用户的所有电子邮件服务凭据。这比分别攻击每一个邮件提供者更有效,它使网络犯罪有效的回避了潜在的反钓鱼措施。

除了让钓鱼者的工作更高效,通过组合大量邮件地址和密码,去攻击其它使用了相同账号或密码的网站(撞库攻击),可以有效的扩大恶意活动范围。

钓鱼景观中的这项进化也反应出了一个心态上的变化,钓鱼者使用他们收集信息是为了经济获益。根据以往的经验,当钓鱼者攻击了金融机构的客户后,他们通常会立即使用获得的凭据进入受害者的账户,并偷走受害者的钱。尽管针对金融机构的攻击维持在一个持续的水平,但是在2016年,钓鱼景观的特征是针对凭据的攻击呈爆发式增长,并且这些凭据通常不能立即获利。

随着最近在策略上的转变,钓鱼者可能会以一种更为间接的方法从被盗的凭据中赚钱。有两种基本方法可以使他们做到这一点。第一种方法是使用撞库攻击金融账户,并偷走钱。威胁主体利用这种技术,并通过接管多个不安全的账户,可以获得一个让收入更加多元化的机会。第二种方式法是在地下论坛和暗网市场中出售大量收获的凭据,这是2016年媒体的热门话题,尽管这个市场目前已经趋于饱和,但是这些大量凭据现在还是能卖到50到1000美元不等。

值得注意的是,这意味着许多钓鱼者的真正的目标可能不是云存储和SaaS泄露的账户,这些账户可能只是一个庞大计划的中间环节。

从过去的经验看,网络钓鱼攻击的主要目标信息是凭据和个人基础数据,但是最近的攻击趋势表明钓鱼者现在对个人、金融、就业、和账户安全信息都有更广泛的关注。在钓鱼攻击时,钓鱼者为了获得信息,会欺骗受害者,并迫使受害人输入更多需要的信息用于“验证”或“恢复”他们的在线账户,这是钓鱼者诱骗受害人时最常见的诱惑方法。

为什么钓鱼者会关注这么广泛的信息呢?一个可能的原因是在将来的网络钓鱼和账户接管活动中更能有利可图。例如,越来越多的钓鱼网站在收集账户安全信息,如常见的挑战/应答组合和母亲的娘家姓,这些信息可用于在密码重用攻击期间绕过验证机制。受攻击更频繁的另一个信息是受害者的电话号码,不仅可以知道受害人的电话号码,并被用于绕过双重因素的身份验证,还可以利用电话号码通过短信方式实施短信钓鱼攻击,这种方式正在迅速成为一个更受欢迎的攻击向量(通常被称为短信诈骗)。

值得注意的是,钓鱼网站收集的大量信息可以被轻易的用于各种其他犯罪目的,如身份盗窃。金融信息是钓鱼者最喜欢的目标之一,它可以被用于信用卡诈骗犯罪。2016年针对税务机构的网络钓鱼攻击呈爆炸式增长,这也表明,钓鱼者将从钓鱼攻击中得到的信息用到了报税诈骗中。

2016年初最大的一个网络安全事件是网络钓鱼攻击了美国国内税务局(IRS)。数量相当大,2016年1月份观察到的针对IRS的钓鱼网站比2015年全年的都多。我们观察到钓鱼攻击不仅针对纳税人,还包含纳税专家(为他人准备纳税申报的人)。对于大多数IRS钓鱼攻击诈骗,偷取纳税人的信息是主要目的。这种攻击形式很多,但是通常攻击者会提交一个看似合法的欺诈性报税表,从而收集受害人的任何个人的、金融的、和就业的相关信息。

这些信息包括个人识别信息(PII)、申报情况、雇主的信息、和收入等。有些钓鱼网站甚至会进一步收集受害人的配偶和家属信息、电子档案的PIN细节、和完整的W2数据。

在2016年。钓鱼者使用了很多策略来诱骗受害提交他们的个人和金融信息。对于IRS钓鱼主题,欺诈纳税人最常用的方法是声称受害人需要更新或核实他们的信息,以便于纳税申报成功得到处理。

http://p1.qhimg.com/t01fac8f63c1453210e.png

针对税务专家的诈骗通常采用的方法是伪装成IRS电子服务门户网站的一个报税登录认证页面,以获取电子服务凭据。IRS电子服务允许纳税专家索取电子客户记录和提交客户申报单。在2016年早期,针对电子服务凭据的网络钓鱼攻击非常流行,以至于IRS向准备纳税的人发送了一个警告,提醒可能存在的诈骗。

下面是一个电子服务网站钓鱼页面:

http://p3.qhimg.com/t01c17dd8402eee7b7a.png

尽管针对报税的攻击活动总量并不是很多,但是这些攻击造成的损失可能会很大。同时,虽然我们在2016年观察到了针对IRS的一个网络钓鱼攻击活动高峰,但是我们的分析表明,这些用于制造IRS攻击的工具包可能是由一个相对较少的个体完成的。和针对其它行业的钓鱼攻击相比,大部分IRS欺骗都不太复杂。即使如此,我们也观察到有一些钓鱼者使用了先进的功能,以提高他们钓鱼网站的真实性,并限制某些访问者访问这些网站。鉴于这这种钓鱼攻击在2016年很成功,因此,在2017年初,我们很有可能会看到这类钓鱼攻击活动的小高峰。

4.攻击什么时候发生?

在2016年,钓鱼攻击活动总量的高峰出现在年中,第四季度有所回落。这和前几年有所差别,前几年是攻击量随着时间在稳步上升,直到年底出现攻击高峰。2016年年中高峰可能是因为钓鱼者利用了一些主要的全球事件(如英国退欧),以及被攻击的虚拟Web服务器数量异常激增。

在2013年到2015年期间,贯穿全年的网络钓鱼攻击趋势遵循一个持续的和可预测的模式。在近三年,网络钓鱼攻击通常会始终增加,并在第四季度节日期间达到高峰。但是这不是2016年的情况,2016年的攻击高峰出现在年中。此外,2016年12月观察到的网络钓鱼攻击数量是近两年中最低的。

这偏离了历史模型,主要因为以下两个因素:

1.钓鱼者利用了历史性的全球事件。

2.针对Web服务器的攻击数量激增。

http://p8.qhimg.com/t01185a89708e7d9114.png

英国退欧效应

正如我们这些年观察到的,钓鱼者会利用实时事件、重大事件、或全球危机来攻击潜在的受害人。因此,在节日期间,网络钓鱼攻击活动通常会激增,这利用了消费者在每年的这段时间内对接收到某些公司通信的预期。通常,在这段时间,当攻击者使用和上下文相关的诱惑策略时,网络钓鱼攻击会更容易成功,因为目标人群习惯于接收相同类型的合理邮件。

就像钓鱼者希望在一定的时间段去利用人们的自满情绪,他们同样会尝试利用因重大事件给受害人造成的焦虑和害怕。对英国公投脱欧的不确定和焦虑,导致了今年中期一些有针对性的钓鱼活动大幅增加。当察看针对英国机构的钓鱼攻击时,从网络钓鱼总量能清楚的看出英国脱欧是这次网络钓鱼攻击激增的原因。整体来看,2016年针对英国的攻击总量和2015年相比,减少了23%,但是2016年五月和六月份,由于公投的影响,针对英国机构的攻击出现了一个高峰。这些激增的攻击主要集中在支付服务公司和政府机构。这两个月网络钓鱼攻击的平均量是其它月份平均量的一倍以上。到七月份,英国脱欧公投结束之后,针对英国实体的网络钓鱼攻击数量暴跌。

http://p0.qhimg.com/t01b842fe62b8d6240b.png

上图是2016年每个月针对英国的网络钓鱼攻击数量。

针对共享虚拟WEB服务器的攻击激增

另一个导致年中网络钓鱼攻击数量激增的因素是没有预想到的,这就是针对共享WEB虚拟服务器的攻击大幅增加。然而这种技术并不是新的,近年来它的使用并不广泛。在2016年,我们观察到超过300个事件涉及到沦陷的虚拟Web服务器,并影响到超过14000个域名。这代表了全年网络钓鱼攻击量的10%。这些攻击的三分之一发生在两个月内,五月和六月,这两个月的攻击影响了8000个域名。

尽管全年的网络钓鱼趋势和前几年有所不同,但是大部分特定行业的趋势还是保持了历史上的相似性。我们看到针对电子商务网站、社交网站和SaaS公司的钓鱼活动随着时间的推移在持续的增加。相反,随着2016年的结束,我们看到了针对云存储网站、金融机构和政府服务的网络钓鱼攻击在减少。这些发现支持这一假设:尽管金融机构和云存储网站是两个最常见的目标行业,但是钓鱼者也会在重要的时期选择攻击其它行业(如节日期间的电子商务网站),使成功的可能性最大化。

http://p6.qhimg.com/t018f4442102158d851.png

(完)