【編者按】當今社會要警惕迅速出現的網絡安全威脅。網絡罪犯正在改變其攻擊技術，使用一系列新的策略來提高成功率。從COVID-19相關的網絡釣魚和基于表單的攻擊，到IoT惡意軟件和對話劫持，網絡犯罪分子繼續演變威脅格局，隨著網絡犯罪分子不斷改進方法，攻擊變得越來越有針對性、復雜，而且代價也越來越高。與攻擊相關的成本和損害可能是極端的。這對財務造成了廣泛的影響，包括業務中斷、生產率降低、數據丟失、監管罰款和品牌受損。商務電子郵件泄露攻擊只占所有網絡攻擊的一小部分，近年來給全球組織造成了數十億美元的損失。Barracuda分析了過去12個月的專項研究，提供了對最大潛在網絡安全威脅的展望，以及企業可以用來幫助防御這些威脅的有效解決方案。

　　許多攻擊旨在規避傳統的電子郵件安全，包括網關和垃圾郵件過濾器。攻擊通常來自信譽度高的域或已經受損的電子郵件賬戶。攻擊通常使用欺騙技術，包括“零日”鏈接、以前攻擊中未使用的域上托管的URL或已插入被劫持合法網站的URL等。

　　一、頭號威脅：網絡釣魚攻擊

　　魚叉式網絡釣魚、與冠狀病毒有關的網絡釣魚以及與之相關的網絡釣魚攻擊，不會在短期內消失。網絡釣魚仍然是一個持續的威脅，并且攻擊也在不斷演變。

　　釣魚郵件被隨機發送給大量的收件人，預計只有一小部分人會回復。舉個例子：一封來自知名快遞公司的官方郵件說你的包裹被延遲了，并告訴你點擊鏈接獲取更多細節。如果你點擊這個鏈接，惡意軟件就會被下載到你的設備上。這個鏈接也可能指向一個虛假的網站，在那里你被要求輸入你的姓名、地址和社會保險號碼。這些信息將在暗網上出售，被用于身份欺詐和其他犯罪。

　　另一方面，魚叉式網絡釣魚攻擊非常個性化。網絡犯罪分子研究他們的目標，并經常冒充一個值得信賴的同事、網站或企業。魚叉式網絡釣魚電子郵件通常試圖竊取敏感信息，如登錄憑據或財務信息。例如，有時騙子冒充企業、學校或其他組織的員工，索取財務或個人信息。

　　1.1網絡釣魚引誘賬戶接管受害者

　　Barracuda和加州大學伯克利分校的研究人員對電子郵件賬戶的接管、攻擊的時間線、黑客試圖逃避檢測的行為以及識別可疑活動的方法進行了大規模分析。

　　為了實施賬戶接管攻擊，攻擊者利用品牌冒充、社會工程和網絡釣魚來竊取登錄憑證和訪問賬戶。一旦賬戶被攻破，黑客就會監控和跟蹤活動，以了解公司是如何開展業務的，包括公司使用的電子郵件簽名，以及金融交易的處理方式，這樣黑客就可以發動成功的攻擊，包括獲取其他賬戶的額外登錄憑據。

　　研究人員指出，攻擊是在一段時間內蔓延的；它們并不總是在賬戶被攻破后立即發生。攻擊者在地理位置上也變得越來越聰明；他們發送釣魚電子郵件，并從與被黑客賬戶的類似地區和國家相關的IP地址執行其他操作。IP地址和ISP提供了重要線索；攻擊者傾向于使用屬于ISP的匿名IP，而這些IP不同于被黑客攻擊的賬戶的提供商。對于網絡罪犯來說，接管賬戶并獲得對組織及其數據的訪問權限可以帶來豐厚的回報。

　　攻擊者還利用會話劫持竊取金錢和敏感個人信息。根據他們從泄露的電子郵件賬戶或其他來源收集到的信息，攻擊者將自己插入現有的商業對話或發起新的對話。利用泄露賬戶中的信息，包括員工、合作伙伴和客戶之間的內部和外部對話，制作令人信服的消息，并從模擬的電子郵件域發送這些消息，誘騙受害者匯錢或提供個人信息。

　　Barracuda的研究人員發現，近幾個月來，用于促進對話劫持的領域模擬攻擊急劇上升。對每月約50萬次電子郵件攻擊的分析顯示，用于會話劫持的假冒域名攻擊增加了400%。雖然與其他類型的網絡釣魚攻擊相比，在冒充域攻擊中使用會話劫持的頻率非常低，但這些復雜的攻擊都是非常個性化的，因此它們非常有效、很難檢測到，而且代價高昂。

　　1.2利用冠狀病毒為主題的釣魚攻擊

　　在全世界都在應對冠狀病毒之時，各種釣魚活動正利用人們對COVID-19的高度關注，散布惡意軟件、竊取憑證、騙取用戶錢財。這些攻擊使用常見的網絡釣魚策略，但越來越多的活動正利用冠狀病毒作為誘餌，并利用潛在受害者的恐懼和不確定性。早些時候，攻擊者冒充世界衛生組織官員發送電子郵件，聲稱出售口罩或冠狀病毒療法。現在，攻擊者更多地關注使用關于疫苗可用性的虛假更新來欺騙人們。

　　Barracuda研究人員確定了使用COVID-19主題的三種主要類型的網絡釣魚攻擊：欺詐、品牌冒充和商務電子郵件泄露。以冠狀病毒為誘餌的網絡釣魚攻擊變得更加復雜，大量敲詐攻擊也層出不窮。

　　魚叉式網絡釣魚是一種針對特定組織或個人的高度個性化的網絡釣魚攻擊，網絡犯罪分子正利用它攻擊包括教育在內的各種不同行業。

　　Barracuda研究人員評估了350多萬個魚叉式網絡釣魚攻擊，包括針對1000多所學校、學院和大學的攻擊。研究人員發現，教育機構比其他機構更容易成為商務郵件泄露（BEC）攻擊的目標。事實上，超過25%的針對教育行業的魚叉式網絡釣魚攻擊都是精心策劃的BEC攻擊。泄露的賬戶隨后被用來發起后續攻擊并泄露其他賬戶。

　　隨著解決方案的演變，攻擊者也在改變策略，試圖逃避檢測。網絡犯罪分子創建具有合法服務的電子郵件賬戶，并利用它們進行冒充和BEC攻擊。他們寫有針對性的郵件，在大多數情況下，只使用這些電子郵件賬戶幾次，以避免被電子郵件服務提供商發現或屏蔽。

　　在品牌冒充攻擊中，攻擊者利用文件、內容共享或其他網站誘騙受害者共享登錄憑據。這種高度專業化的攻擊很難檢測到，因為發起攻擊的網絡釣魚電子郵件通常包含指向合法網站的鏈接，例如docs.google.com或者sway.office.com.

　　二、最大威脅：惡意軟件攻擊

　　網絡犯罪分子持續使用惡意軟件發動各種攻擊。惡意軟件攻擊是復雜的、分層的，而且還在不斷演變。大多數惡意軟件都以垃圾郵件的形式被廣泛發送到電子郵件列表中，這些郵件列表在暗網被出售、交易、聚合和修改。通常，惡意軟件隱藏在電子郵件的附件中。一旦文件被打開，要么自動安裝惡意軟件，要么使用一個嚴重混淆的宏從外部源下載并安裝它。常見的惡意軟件包括病毒、間諜軟件、蠕蟲和勒索軟件。

　　惡意軟件不斷更新，包括新的規避和后門技術，旨在欺騙用戶和安全服務。其中一些規避技術依賴于簡單的策略，例如使用web代理來隱藏惡意流量或源IP地址。更復雜的規避技術包括多態惡意軟件，它不斷改變代碼，以避開大多數反惡意軟件工具的檢測。

　　2.1勒索軟件鎖定關鍵文件并導致業務混亂

　　網絡罪犯用勒索軟件攻擊政府、醫療保健和教育機構。惡意軟件以電子郵件附件或鏈接的形式發送，感染網絡，鎖定電子郵件、數據和其他關鍵文件，直到被害者支付贖金。這些不斷發展和復雜的攻擊具有破壞性，代價高昂。它們可以破壞日常運營，造成混亂，并導致停機時間、贖金支付、回收成本和其他財務損失。例如，2018年，亞特蘭大市遭遇勒索軟件攻擊，要求支付大約5萬美元的比特幣，該市最終花了260多萬美元來恢復數據。

　　盡管勒索軟件已經存在了20多年，但近年來威脅一直在迅速增長。隨著疫情大流行使人們迅速而廣泛地轉移到遠程工作，網絡罪犯獲得了更大的攻擊面。家庭網絡的安全性較弱，這使得網絡罪犯更容易破壞家庭網絡，并發動勒索軟件攻擊。

　　2.2新的物聯網惡意軟件變種構建僵尸網絡

　　一種新的惡意軟件變體正在對Mac和Android物聯網設備發起攻擊。此前，只有Windows和Linux電腦受到攻擊。名為星際風暴的惡意軟件背后的網絡犯罪組織發布了新的變體，正在構建一個僵尸網絡，Barracuda研究人員估計，這個僵尸網絡包括分布在84個國家的約1.35萬臺受感染的機器，而且還在繼續增長。

　　2.3惡意軟件利用服務器和web應用程序框架

　　以前的加密惡意軟件Golang的變種只攻擊Linux機器，而最新的變種使用了新的漏洞池來攻擊Windows機器。這種新的惡意軟件攻擊的不是終端用戶，而是服務器。

　　這種新的惡意軟件變種會攻擊web應用程序框架、應用服務器和非http服務。其主要目標是挖掘加密貨幣。一旦惡意軟件用初始有效載荷感染一臺機器，它就會為加密程序下載大量文件，這些文件是根據被攻擊平臺定制的。惡意軟件以蠕蟲的形式傳播，搜索并感染其他易受攻擊的機器。

　　三、防御建議

　　快速發展的威脅環境要求每個組織都采取多層次的保護策略，以最大限度地提高網絡安全，并最大限度地降低成為復雜攻擊受害者的風險。

　　3.1利用人工智能

　　攻擊者正在調整電子郵件策略，以繞過網關和垃圾郵件過濾器，因此，關鍵是要有一個使用人工智能來檢測和防御釣魚攻擊的解決方案，包括商業電子郵件泄露和品牌冒充。部署不完全依賴于尋找惡意鏈接或附件的專門構建的技術。使用機器學習來分析組織內的正常通信模式，并發現可能指示攻擊的異常情況。

　　隨著網絡釣魚的發展，即使是訓練有素和知識淵博的用戶也越來越難以發現攻擊。組織應該投資于先進的檢測技術和服務，以自動識別釣魚郵件，阻止潛在的威脅郵件和附件到達電子郵件收件箱，而不是依賴用戶自己識別它們。

　　3.2主動調查和補救

　　雖然許多惡意電子郵件看起來很有說服力，但釣魚檢測系統和相關安全軟件可以捕捉到微妙的線索，幫助阻止潛在威脅的消息和附件進入電子郵件收件箱。

　　一些最具破壞性和最成功的魚叉式網絡釣魚攻擊來自于泄露的賬戶，所以要確保攻擊者不會把組織作為發起這些攻擊的大本營。使用技術來識別可疑活動，包括來自不尋常地點和IP地址的登錄，這是賬戶被盜用的潛在跡象。一定要監視電子郵件賬戶，以防惡意的收件箱規則，因為它們經常被用作賬戶接管的一部分。黑客登錄該賬戶，創建轉發規則，隱藏或刪除他們從該賬戶發送的任何電子郵件，來掩蓋蹤跡。部署一種技術，能夠識別賬戶何時受到攻擊，并通過向用戶發出警報和自動刪除從被攻擊賬戶發送的惡意電子郵件來實時補救。

　　3.3培訓員工識別和報告攻擊

　　作為安全意識培訓的一部分，教育員工有關網絡釣魚、惡意軟件和其他類型的攻擊。確保員工能夠識別潛在威脅，了解欺詐性質，并知道如何報告這些威脅。

　　幫助員工避免犯代價高昂的錯誤，方法是制定指導方針，制定程序，確認通過電子郵件發出的請求。

　　利用網絡釣魚模擬將員工從安全責任轉變為防線。向員工展示如何識別電子郵件、語音郵件和短信攻擊。通過即時模擬測試訓練的有效性，評估最易受到攻擊的用戶。

　　3.4使用各種高級解決方案

　　部署先進的出入站安全技術，包括惡意軟件檢測、垃圾郵件過濾器、網絡和WAF防火墻以及沙盒。加密和DLP有助于防止意外和惡意數據丟失。電子郵件存檔對于法規遵從性和業務連續性也至關重要。

　　對于附加了惡意文檔的電子郵件，靜態和動態分析都可以發現文檔試圖下載并運行可執行文件的跡象，這是任何文檔都不應該做的。通常可以使用試探法或威脅情報系統來標記可執行文件的URL。靜態分析檢測到的混淆還可以指示文檔是否可疑。

　　如果用戶打開惡意附件或單擊指向DRIVE BY下載的鏈接，能夠進行惡意軟件分析的高級網絡防火墻會在可執行文件試圖通過時對其進行標記，從而提供阻止攻擊的機會。

　　3.5內置備份計劃

　　在發生勒索軟件攻擊時，無論文件位于物理設備、虛擬環境還是公共云中，備份解決方案都可以最大限度地減少停機時間、防止數據丟失并快速恢復系統。

　　為了避免備份受到勒索軟件攻擊的影響，請遵循3-2-1規則：將文件的三個副本保存在兩種不同的媒體類型上，其中至少一個在異地。