网络诈骗犯们近年来使用了各种手段来绕过反钓鱼技术。有一种投递钓鱼链接成功率很高的方法就是使用电子邮件营销服务,即通过电子邮件服务供应商(ESP,专门投递电子邮件期刊的公司)来发送邮件。根据我们软件获取的数据显示,这种不法手段目前势头越来越猛。
为何基于ESP的钓鱼攻击可以成功
重视邮件威胁的企业往往会使用杀毒、反钓鱼和反垃圾邮件引擎在邮件抵达用户收件箱之前对其进行彻底扫描。安全引擎不仅会扫描邮件内容、标题、链接,还会检查邮件发送者以及任何被链接网址的声誉,这些因素综合起来决定了邮件的风险。比如,安全算法会对来自于未知发送者的可疑群发邮件亮红灯。
然而攻击者们已经找到了应对方法:以可信任的实体发送邮件。电子邮件营销服务提供端到端的电子期刊管理功能,非常适合这个角色,这些可信任的实体都是知名的服务供应商,因此很多安全软件的厂商在安全策略中默认允许它们的IP地址,有些甚至直接跳过对这些供应商邮件的检查。
ESP们是如何被利用的
这里的主要攻击向量很明显:将钓鱼邮件伪装成合法邮件。实质上,网络不法分子通过购买最便宜的订购服务从而变成了目标服务供应商的客户。
不过攻击者们还有个比较特别的方案:用ESP来管理URL。在这种方法中,攻击者在自己的服务器中发送电子期刊,比如网络不法分子可以创建一个含有钓鱼URL的测试版电子期刊,然后发送给自己进行预览。ESP会为URL创建一个代理URL,然后攻击者在真正的钓鱼电子期刊中使用这个代理URL。他们的另一个选择是创建一个看似邮件模板的钓鱼网站,然后创建一个直接指向它的链接,不过这种情况相对前者而言没有那么常见。
无论哪种方法,新的代理URL都具有良好的声誉,因此不会被阻拦;而且ESP并不处理邮件的具体发送,也不会发现任何不对劲从而阻拦它的”客户”——至少在他们开始收到各种各样来自用户的抱怨之前是这样,有时这种方法甚至被用于鱼叉式钓鱼攻击。
ESP厂商是怎么想的
毫无疑问ESP们并不会以沦为网络不法分子的工具为荣,大多数ESP拥有自己的安全技术并扫描邮件内容以及通过他们服务器的链接,如果用户遭到经由他们网站的钓鱼攻击,几乎所有的ESP都会为用户提供解决方案。
因此攻击者也会试图逃避ESP的检测,比如使用代理供应商来延迟钓鱼链接生效时间:链接在刚刚创建时看上去是合法的,只有在后来才会指向恶意网站。
我们应该如何应对
在很多情况下,群发邮件的收件人是那些在网络上公开过自己邮箱地址的员工,而且即便是我们中最警觉的人,也可能无意中点击不该点的链接。为了保护企业员工远离来自电子邮件营销服务的潜在钓鱼攻击,我们提出以下建议:
- 为员工提供安全教育,告诫他们不要打开标有”群发邮件”的电子邮件,除非是他们自己主动订阅的服务。
- 使用那些采用启发式算法彻底扫描邮件的强有力的安全解决方案。