當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

 2023-07-05 11:19  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

近日, Check Point® 軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開(kāi)調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59% 的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵 (BEC) 攻擊中發(fā)揮了重要作用,造成了 15% 的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書(shū)/憑據(jù)釣魚(yú)相關(guān)的不法活動(dòng)仍居電子郵件攻擊活動(dòng)之首。而我國(guó)在2022年內(nèi)受釣魚(yú)郵件攻擊的總量?jī)H次于美國(guó),位居全球第二名。種種跡象均已表明,釣魚(yú)郵件這一“簡(jiǎn)單粗暴”的方式仍然受到不法分子的“青睞”。

為竊取和收集用戶憑證,網(wǎng)絡(luò)釣魚(yú)電子郵件中會(huì)隨附一個(gè)惡意 URL 或附件。Check Point 的遙測(cè)數(shù)據(jù)顯示,超過(guò)一半的惡意附件是 HTML 文件。為了誘騙用戶,其中許多附件偽裝成了已知服務(wù)和廠商(如微軟、Webmail 等)的登錄頁(yè)面。

圖 1:按文件類(lèi)型劃分的惡意附件。資料來(lái)源:Check Point Research

用戶在偽造登錄表單中輸入自己的憑證并點(diǎn)擊提交,然后憑證通常通過(guò) Web 服務(wù)器或 Telegram 的 API 發(fā)送給攻擊者。在過(guò)去的幾個(gè)月里,CPR 觀察到持續(xù)不斷的攻擊活動(dòng)涉及數(shù)千封電子郵件,這些電子郵件利用 EmailJS、Formbold、Formspree 和 Formspark 等合法服務(wù)來(lái)獲取被盜憑證。上述服務(wù)都是在線表單構(gòu)建器,允許用戶為自己的網(wǎng)站或 Web 應(yīng)用創(chuàng)建自定義表單,并得到了開(kāi)發(fā)人員的廣泛使用。它們不僅為構(gòu)建可嵌入到網(wǎng)站或應(yīng)用的表單提供了用戶友好型界面,而且還可提供各種表單字段類(lèi)型,例如文本輸入字段、單選框、復(fù)選框、下拉菜單等,以便用戶以結(jié)構(gòu)化的方式收集用戶信息。用戶提交表單后,此類(lèi)服務(wù)將處理表單數(shù)據(jù)并收集被盜憑證。

圖 2:憑證收集流程

憑證收集

憑證收集是一種網(wǎng)絡(luò)攻擊,其中攻擊者竊取用戶名和密碼等敏感信息,以獲取用戶對(duì)合法網(wǎng)絡(luò)服務(wù)的初始訪問(wèn)權(quán)限或在網(wǎng)上販賣(mài)。通常,這些攻擊并非針對(duì)某一特定機(jī)構(gòu),而是試圖收集盡可能多的不同用戶名和密碼來(lái)在網(wǎng)上dou shou。

圖 3:暗網(wǎng)論壇出售被盜憑證。

合法郵件服務(wù)之殤

過(guò)去,攻擊者主要使用兩種方法來(lái)收集憑證。第一種方法是使用托管在受攻擊站點(diǎn)上的 PHP 文件。然而,在這種方法中,攻擊者面臨著站點(diǎn)被網(wǎng)絡(luò)安全解決方案攔截的可能性。第二種方法是使用 Telegram 的 API,但這種方法被安全廠商所熟知,因此被攔截的幾率更高。現(xiàn)在,使用合法表單服務(wù) API 的新方法被許多開(kāi)發(fā)人員所使用,這就加大了攔截惡意 HTML 文件的難度。借助該 API,憑證可被發(fā)送到攻擊者選擇的任何位置,甚至能夠發(fā)送到他自己的郵箱。

以EmailJS 為例,EmailJS 是一項(xiàng)允許開(kāi)發(fā)人員只使用客戶端技術(shù)(而無(wú)需任何服務(wù)器代碼)發(fā)送電子郵件的服務(wù)。若要使用該服務(wù),用戶只需:

1、將電子郵件地址連接到該服務(wù);

2、創(chuàng)建一個(gè)電子郵件模板,以確定電子郵件發(fā)送方式以及電子郵件接收地址;

3、使用 EmailJS SDK 或 API,以利用 JavaScript 發(fā)送電子郵件。

該服務(wù)每月可免費(fèi)發(fā)送最多 200 封電子郵件,而通過(guò)訂閱,每月可發(fā)送多達(dá) 100,000 封電子郵件。該服務(wù)是合法的,根據(jù)其官網(wǎng)數(shù)據(jù),有超過(guò) 25,000 名開(kāi)發(fā)人員正在使用這項(xiàng)服務(wù)。

圖 4:EmailJS 官網(wǎng)

以下兩個(gè)示例說(shuō)明了攻擊者正如何使用該服務(wù)來(lái)收集被盜憑證——

圖 5:使用 EmailJS 的網(wǎng)絡(luò)釣魚(yú)頁(yè)面

在圖 5 中,攻擊者首先利用其公鑰使用“emailJS.init”,然后使用函數(shù)“sendEmail”(當(dāng)用戶提交表單時(shí)被觸發(fā))和“emailjs.send”通過(guò)電子郵件將數(shù)據(jù)傳輸?shù)剿碾娮余]件帳戶。

圖 6:另一個(gè)從 HTML 文件中使用 EmailJS 的示例

在圖 6 中,攻擊者直接使用 EmailJS API 將受害者的憑證發(fā)送給自己。上述示例均來(lái)自于我們觀察到的一起攻擊活動(dòng)。此外,Check Point還發(fā)現(xiàn)該攻擊活動(dòng)使用了兩個(gè)不同的 EmailJS 公共 API 密鑰。

一起真實(shí)的釣魚(yú)攻擊

CPR近日檢測(cè)到一起始于一封釣魚(yú)電子郵件的持續(xù)攻擊活動(dòng),這場(chǎng)攻擊活動(dòng)用到了該電子郵件的多個(gè)版本和幾個(gè)不同的 HTML 模板。

圖 7:攻擊活動(dòng)中使用的網(wǎng)絡(luò)釣魚(yú)電子郵件的示例

所附文件與受害者收到的電子郵件相對(duì)應(yīng),Check Point已發(fā)現(xiàn)了該電子郵件的多個(gè)版本。

圖 8:HTML 附件偽裝成文件和網(wǎng)頁(yè)郵件登錄頁(yè)面

為了讓登錄頁(yè)面看似沒(méi)問(wèn)題,攻擊者在表單(在 HTML 文件中進(jìn)行了硬編碼)中填寫(xiě)了受害者的電子郵件地址。一旦受害者輸入其憑證并嘗試登錄,用戶名和密碼就會(huì)被直接發(fā)送到攻擊者的電子郵件收件箱。

圖 9:使用 EmailJS 的憑證收集流程

圖 10:使用 Formspark 的 HTML 附件的示例

預(yù)防為先刻不容緩

通過(guò)合法手段進(jìn)行不發(fā)活動(dòng)無(wú)疑使安全形勢(shì)變得更加復(fù)雜。同時(shí),今年四月Check Point揭示了如何通過(guò)ChatGPT進(jìn)行釣魚(yú)軟件編寫(xiě),這也意味著不法行為的實(shí)施成本也在日趨降低。因此,時(shí)刻保持Check Point公司倡導(dǎo)的“預(yù)防為先”的安全理念,才是打造互聯(lián)網(wǎng)安全環(huán)境的第一步重要措施。

Check Point Threat Emulation 客戶端能夠防御此類(lèi)攻擊??紤]到逃逸型零日攻擊和網(wǎng)絡(luò)釣魚(yú)攻擊的速度和復(fù)雜性,采用 AI 深度學(xué)習(xí) 來(lái)預(yù)測(cè)和阻止惡意行為、且無(wú)需人工干預(yù)的解決方案將逐漸成為郵件安全防御的主流。

在 Miercom 基準(zhǔn)測(cè)試報(bào)告中,Check Point 取得了網(wǎng)絡(luò)釣魚(yú)防御率高達(dá) 99.9% 的驕人成績(jī),實(shí)現(xiàn)了 99.7% 的惡意軟件防御率,而且在網(wǎng)絡(luò)釣魚(yú)、惡意軟件及零日網(wǎng)絡(luò)釣魚(yú) URL 方面的漏檢率幾乎為 0%。因此,Check Point有信心幫助用戶在惡意郵件攻擊日趨嚴(yán)峻的形勢(shì)下,依然可以享有最高級(jí)別的安全防護(hù),確保核心數(shù)字資產(chǎn)無(wú)虞。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱(chēng),多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開(kāi)始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專(zhuān)業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 喜報(bào)!瑞數(shù)信息蟬聯(lián)CCIA中國(guó)網(wǎng)絡(luò)安全競(jìng)爭(zhēng)力50強(qiáng)!

    近日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”。中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)自2023年3月份啟動(dòng)網(wǎng)絡(luò)安全企業(yè)發(fā)展情況調(diào)研工作,本次調(diào)研延續(xù)前五次產(chǎn)業(yè)調(diào)研模式,仍然以具備網(wǎng)絡(luò)安全產(chǎn)品、服務(wù)和解決方案銷(xiāo)售收入的我國(guó)網(wǎng)絡(luò)安全企業(yè)為目標(biāo)研究對(duì)象

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門(mén)排行

信息推薦