《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 2021年初與疫苗相關(guān)網(wǎng)絡(luò)釣魚攻擊增加530%

2021年初與疫苗相關(guān)網(wǎng)絡(luò)釣魚攻擊增加530%

2021-04-01
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 疫苗 網(wǎng)絡(luò)釣魚

  Palo Alto Networks的研究人員發(fā)現(xiàn)網(wǎng)路釣魚攻擊主要集中在2020年3月的個人防護設(shè)備(PPE)和測試工具,,以及從4月到2020年夏季的政府刺激計劃(包括偽造的美國貿(mào)易委員會網(wǎng)站,該網(wǎng)站冒充美國聯(lián)邦貿(mào)易委員會以竊取用戶憑證)和從2020年秋末開始的疫苗(包括偽造的輝瑞和BioNTech網(wǎng)站也竊取了用戶憑證),。值得注意的是,,研究人員發(fā)現(xiàn),,從2020年12月到2021年2月,與疫苗相關(guān)的網(wǎng)絡(luò)釣魚攻擊數(shù)量增加了530%,,而與藥房和醫(yī)院相關(guān)或針對藥店和醫(yī)院的網(wǎng)絡(luò)釣魚攻擊數(shù)量在同一時間段內(nèi)增長了189%,。

  研究人員的分析表明,微軟是攻擊者最關(guān)注的品牌。例如,,攻擊者設(shè)置了偽造的Microsoft頁面,,以竊取諸如Walgreens(位于美國),Pharmascience(位于加拿大),,Glenmark Pharmaceuticals(位于印度)和Junshi Biosciences(位于中國)等機構(gòu)的員工憑據(jù),。

  研究人員預(yù)測,隨著疫苗的持續(xù)推廣,,與疫苗傳播相關(guān)的網(wǎng)絡(luò)釣魚攻擊(包括針對醫(yī)療保健和生命科學行業(yè)的攻擊)將繼續(xù)在全球范圍內(nèi)增加,。

  網(wǎng)絡(luò)釣魚趨勢

  自2020年1月以來,研究人員已經(jīng)觀察到與新冠疫情相關(guān)主題鏈接的69950個釣魚URL,,其中33447個與新冠疫情本身直接鏈接,。在圖1中,研究人員繪制了這些不同主題隨時間的相對受歡迎程度,,并對其進行了規(guī)范化處理,,以使每個主題的峰值受歡迎程度均為100%。通過觀察每個彩色部分的高度隨時間的變化,,研究人員可以看到某些主題仍然是網(wǎng)絡(luò)釣魚攻擊的穩(wěn)定目標,,而其他主題在各個時間點都經(jīng)歷了更明顯的峰值。自大流行開始以來,,例如,,藥品和虛擬收集(例如Zoom)一直是網(wǎng)絡(luò)釣魚攻擊的相對穩(wěn)定的目標;另一方面,,疫苗的開發(fā)使網(wǎng)絡(luò)釣魚的攻擊又達到了新一波高峰,。

  2.png

  2020年1月至2021年2月以新冠病毒為主題的網(wǎng)絡(luò)釣魚攻擊趨勢

  對于發(fā)現(xiàn)以已知品牌為目標的以新冠疫情為主題的網(wǎng)絡(luò)釣魚頁面,研究人員確定這些攻擊中的大多數(shù)試圖竊取用戶的商業(yè)憑據(jù):例如,, Microsoft,,Webmail,Outlook等,。圖2中的每個欄代表試圖竊取該特定網(wǎng)站的用戶登錄憑據(jù)的網(wǎng)絡(luò)釣魚URL的百分比,。例如,大約23%的以新冠疫情為主題的網(wǎng)絡(luò)釣魚URL是偽造的Microsoft登錄頁面,。隨著大流行迫使許多員工進行遠程工作,,這些與業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)釣魚嘗試已成為網(wǎng)絡(luò)犯罪分子越來越重要的攻擊手段。

  3.png

  與新冠疫情相關(guān)的URL(全局)中的頂級網(wǎng)絡(luò)釣魚目標,,每個橫條代表試圖竊取該特定網(wǎng)站的用戶登錄憑據(jù)的網(wǎng)絡(luò)釣魚URL的百分比。請注意,,在此圖中,,研究人員僅包含針對可識別品牌的URL。

  此外,,研究人員注意到,,通過這些以新冠疫情為主題的網(wǎng)絡(luò)釣魚攻擊,,攻擊者正在不斷創(chuàng)建新的網(wǎng)站來托管其網(wǎng)絡(luò)釣魚活動。在圖3中,,該圖顯示了研究人員發(fā)現(xiàn)托管新冠疫情相關(guān)的網(wǎng)絡(luò)釣魚頁面的每個網(wǎng)站的生存時間,,研究人員可以看到許多與新冠疫情相關(guān)的網(wǎng)絡(luò)釣魚頁面都托管在新創(chuàng)建的網(wǎng)站上,這表明攻擊者在其預(yù)期攻擊發(fā)生的前幾天有意建立了這些站點,,這使攻擊者有機會制作與攻擊有關(guān)的消息以及網(wǎng)站URL,,以適應(yīng)最新的大流行趨勢。

  4.png

  2020年1月至3月:初始浪涌,,測試工具和PPE

  在2020年1月至2020年2月之間,,隨著新冠疫情開始在全球范圍內(nèi)傳播,網(wǎng)絡(luò)犯罪分子已經(jīng)開始嘗試利用即將流行的大流行為其帶來好處,。在此期間,,研究人員發(fā)現(xiàn)與新冠疫情直接相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了313%。

  在圖4中,,研究人員看到了以新冠疫情為主題的網(wǎng)絡(luò)釣魚攻擊的示例,。偽造的Google表單首先會要求用戶輸入電子郵件用戶名和密碼,在隨后的頁面中,,該表格會提出一系列聽起來合理的健康相關(guān)問題,,提交之前的最后一個問題要求員工通過輸入其全名來進行所謂的“數(shù)字簽名”。

  5.png

  從2020年2月至3月,,人們對新冠疫情擴散到美國的擔憂迅速增加,。為了滿足人們保護自己和家人的愿望,人們對測試工具,、洗手液和N95口罩等個人防護裝備的興趣,,甚至廁紙之類的必需品也開始迅速增加。

  6.png

  網(wǎng)上對“新冠疫情檢測試劑盒”的興趣與新冠疫情檢測相關(guān)的網(wǎng)絡(luò)釣魚流行率

  這些趨勢在研究人員的歷史網(wǎng)絡(luò)釣魚數(shù)據(jù)中也可以觀察到,,在2020年2月,,研究人員發(fā)現(xiàn)全球范圍內(nèi)與個人防護設(shè)備相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了136%,其中許多都是以網(wǎng)上購物詐騙的形式出現(xiàn)的(見圖6),。今年3月,,就在《紐約時報》報道整個美國的新冠疫情測試工具嚴重不足之際,研究人員發(fā)現(xiàn)與檢測工具相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了750%,。

  7.png

  https://atemmaske-kn95-de[.]com

  除了這些欺詐網(wǎng)站之外,,研究人員還觀察到了看似合法的測試工具供應(yīng)商,這些供應(yīng)商的網(wǎng)站由于竊取憑據(jù)而受到攻擊,。在圖8中,,研究人員看到了一個偽造的Microsoft Sharepoint登錄頁面,該用戶將通過網(wǎng)絡(luò)釣魚電子郵件中的鏈接進入該頁面。網(wǎng)絡(luò)釣魚頁面會要求用戶提供電子郵件和Microsoft密碼,,以查看與用戶“共享”的對時間敏感的發(fā)票,。

  8.png

  covid-testkit[.]co[.]uk

  9.png

  

  2020年4月至7月:政府刺激和救濟計劃

  2020年4月,美國國稅局開始向個人發(fā)放1200美元的刺激計劃,。大約在同一時間,,“薪資保護計劃”(PPP)付諸實施,這也導(dǎo)致了網(wǎng)絡(luò)釣魚攻擊的迅速猛增,。

  10.png

  隨后,,研究人員注意到與政府救濟計劃有關(guān)的網(wǎng)絡(luò)釣魚攻擊在2020年4月增加了600%。如下面兩個圖所示,,研究人員顯示了一個網(wǎng)絡(luò)釣魚頁面的示例,,該頁面?zhèn)窝b成“美國貿(mào)易委員會”,這是一個偽造的部門,。該網(wǎng)站承諾為每個人提供高達5800美元的“臨時救濟基金”,。虛假的統(tǒng)計數(shù)據(jù)顯示在頁面的右側(cè),給用戶一種錯覺,,認為還有數(shù)十億美元沒有分配,。

  11.png

  點擊“啟動驗證程序”按鈕后,用戶會被重定向到一個表單,,要求提供社會安全號碼(SSN)和駕照號碼,。

  12.png

  在制定了合法的刺激和救濟計劃之后,與經(jīng)濟救濟相關(guān)的網(wǎng)絡(luò)釣魚攻擊在接下來的幾個月中仍然相對流行(見圖9),,因為仍有許多人需要經(jīng)濟支持,。在圖12中,研究人員看到另一個憑據(jù)竊取頁面,,要求用戶輸入個人和公司信息,,駕駛執(zhí)照照片和銀行帳戶詳細信息。研究人員在圖13中看到一個類似的示例,,該示例承諾在輸入他們的銀行帳戶信息后向用戶發(fā)送3000印度盧比,。

  13.png

  14.png

  2020年11月至2021年2月:疫苗批準和推出

  隨著疫苗的研發(fā)成功,攻擊者試圖利用這一趨勢來進行攻擊也就不足為奇了,。從2020年12月到2021年2月,,研究人員發(fā)現(xiàn)與疫苗相關(guān)的網(wǎng)絡(luò)釣魚攻擊增加了530%(見圖14)。

  15.png

  接下來,,可以看到一個偽造網(wǎng)站的示例,,該網(wǎng)站聲稱代表了輝瑞公司和BioNTech(mRNA疫苗的生產(chǎn)商)。釣魚頁面要求用戶使用Office 365憑據(jù)登錄,,以進行疫苗注冊,。

  還要注意的是,,這個釣魚網(wǎng)站使用了一種越來越普遍的技術(shù),即“客戶端偽裝”,。該網(wǎng)站并沒有立即揭露竊取證書的表單,而是首先要求用戶點擊“登錄”按鈕,,以避開自動的,、基于爬蟲的網(wǎng)絡(luò)釣魚探測器。

16.png

  

  17.png

  pfizer-vaccine[.]online(用戶點擊“登錄”按鈕后顯示的憑據(jù)竊取表單)

  從2020年12月到2021年2月,,研究人員發(fā)現(xiàn)與藥房和醫(yī)院相關(guān)的攻擊增加了189%,。

  18.png

  19.png

  考慮到新冠疫情的全球性質(zhì),針對藥品和醫(yī)療保健公司的這些網(wǎng)絡(luò)釣魚活動似乎不僅僅在美國如此,,在全球范圍內(nèi)似乎很普遍,。在下圖中,研究人員看到針對魁北克最大的制藥企業(yè)Pharmascience的網(wǎng)絡(luò)釣魚攻擊,。在圖20中,,研究人員看到針對總部位于孟買的全球藥品制造商Glenmark Pharmaceuticals的網(wǎng)絡(luò)釣魚攻擊。在圖21中,,研究人員看到針對以上海為基地的醫(yī)藥研發(fā)公司Junshi Biosciences的網(wǎng)絡(luò)釣魚攻擊,。在圖21的情況下,攻擊者建立了一個偽造的登錄頁面,,冒充SF Express(一家中國跨國交付和物流公司),。

  20.png

 

21.png

  Junshipharma-9107214068[.]parnian-distribution[.]com(針對以上海為基地的醫(yī)藥研發(fā)公司Junshi Biosciences的員工為目標的網(wǎng)絡(luò)釣魚活動的一部分)

22.png

  在某些情況下,研究人員還會觀察合法的制藥公司,,其網(wǎng)站已被破壞并用于網(wǎng)絡(luò)釣魚目的,。在圖22中,研究人員可以看到pharmalicensing.com是一家公司的網(wǎng)站,,該公司可以幫助連接生命科學行業(yè)的企業(yè),,該網(wǎng)站已經(jīng)遭到入侵,并被用來托管一個仿冒頁面,,以竊取用戶的商業(yè)憑據(jù),。這類攻擊可能特別危險,因為原始網(wǎng)站的合法性可能會誘使用戶錯誤地認為網(wǎng)絡(luò)釣魚頁面也是合法的,。

23.png  

  pharmalicensing.com/stone/excelzz/bizmail.php(Pharmalicensing的一個被盜用的網(wǎng)站,,用于憑證竊取)

  緩解措施

  對于個人而言:

  1.在點擊可疑電子郵件中包含的鏈接或附件時要謹慎,,尤其是那些與個人賬戶設(shè)置或個人信息有關(guān)的鏈接或附件,,或者試圖傳遞緊迫感的鏈接或附件。

  2.驗證收件箱中任何可疑電子郵件的發(fā)件人地址,。

  3.輸入登錄憑據(jù)之前,,請仔細檢查每個網(wǎng)站的URL和安全證書,。

  4.報告可疑的網(wǎng)絡(luò)釣魚企圖。

  對于企業(yè)而言:

  1.實施安全意識培訓(xùn),,以提高員工識別欺詐性電子郵件的能力,。

  2.定期備份組織的數(shù)據(jù),以防御通過網(wǎng)絡(luò)釣魚電子郵件發(fā)起的勒索軟件攻擊,。

  3.對所有與業(yè)務(wù)相關(guān)的登錄強制執(zhí)行多因素身份驗證,,以增加安全性。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。