招不怕老，「電子郵件派」網路攻擊方式奪魁！

雷鋒網註：本文原文為《【賽門鐵克署名文章】電子郵件成為當下網路攻擊的主要傳播途徑》，作者賽門鐵克公司大中華區首席運營官羅少輝。賽門鐵克授權雷鋒網宅客頻道（ letshome ）轉載。

2016年是網路攻擊極其活躍的一年，全球先後發生多起大型網路攻擊事件，例如令人震驚的造成數千萬美元損失的虛擬銀行劫案，蓄意破壞美國選舉的黑客攻擊，利用物聯網設備發動的史上最大規模的DDoS攻擊，以及近期席捲全球150個國家的WannaCry勒索軟體攻擊，至今還令人震驚。網路攻擊不僅對企業和個人用戶造成巨大的損失，甚至對國際政治、全球經濟、民生安全造成不可預估的危害。

過去，網路攻擊組織主要集中利用零日漏洞發動具有針對性的攻擊。但隨著「漏洞賞金」 計劃的日益普及，產品在開發過程中對安全因素的重點關注，以及國家、企業和個人用戶對安全解決方案的採用和部署，攻擊者越來越難發現和利用零日漏洞，這迫使他們轉將視線重新放回到常用攻擊途徑——電子郵件就是其中之一，並且成為2016年最常見的攻擊手段。

電子郵件再度成為攻擊者的首選

2016年，惡意電子郵件成為各類網路攻擊團伙的首選 「武器」 ，無論是有政府背景的間諜團伙，還是電子郵件群發勒索團伙都對其情有獨鍾。第22期賽門鐵克《互聯網安全威脅報告》指出，電子郵件中的惡意軟體比例在2016年出現明顯上升，達到1:131，成為五年來最高比例。在，該情況更為嚴重，比例為1:63 —— 這意味著，每63封電子郵件中就有一封帶有惡意軟體。此外，利用魚叉式網路釣魚電子郵件的商務電郵詐騙 (BEC)騙局也收到攻擊者的青睞，在 2016 年出現明顯的增加。

▲ 2016年，惡意郵件比例為近5年最高

每天有數百萬攻擊是通過惡意電子郵件所發起的。分析得出，惡意電子郵件受到青睞的主要原因是由於該途徑的有效性——首先，電子郵件是當今極為重要的通信工具，無論企業還是個人都十分依賴電子郵件作為生活和工作的溝通工具。其次，攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者打開附件、點擊鏈接或泄露憑據，無需任何漏洞就可以完成。

去年最典型的案例便是在美國大選前夕，黑客使用魚叉式網路釣魚郵件入侵希拉里•柯林頓的競選團隊主席約翰 •波德斯塔和前美國國務卿科林•鮑威爾的電子郵件帳戶。根據調研，電子郵件在2016年被廣泛使用於不同類型的複雜性攻擊活動中，另一個主要的例子是破壞性惡意軟體 Shamoon在沉寂四年後的捲土重來，向沙烏地阿拉伯國家的多個目標發起大量的攻擊。攻擊者首先向目標受害組織中的個人用戶發送含有惡意鏈接的魚叉式網路釣魚郵件，如果用戶點擊該鏈接，則會下載類似Word或Excel的文件。一旦打開該文件，Office宏就會運行PowerShell腳本，使攻擊者擁有遠程訪問的能力，並在受感染計算機中執行基本偵查任務。

電子郵件惡意軟體激增可能與2016年大規模散播惡意電子郵件犯罪團伙的持續不斷活動有關，主要傳播的威脅包括：Locky、Dridex 和 TeslaCrypt。其中，金融特洛伊木馬 Dridex 主要用於竊取用戶的銀行交易憑據。Dridex 背後的攻擊者都是專業人員，他們通過不斷完善惡意軟體，讓這些惡意電子郵件儘可能看上去合法。TeslaCrypt 和 Locky 都屬於勒索軟體，而勒索軟體也是2016年的主要網路威脅之一。

2016年全球受電子郵件惡意軟體威脅影響最多的行業是批發業和農業，但是增長速度最快的是運輸業、金融業和採礦業。在，受到電子郵件惡意軟體影響最大的行業是服務業(1:59)和金融、保險及房地產業(1:122)。不僅如此，在2016年，電子郵件惡意軟體幾乎重創了所有規模的企業。根據統計數據，全球範圍來看，中小型企業(員工人數在251至500之間)受到的衝擊最大，每95封電子郵件中就有一封包含惡意軟體。在，小型企業(員工人數在1至250之間)則是重點攻擊對象，每59封電子郵件中就有一封包含惡意軟體。

偽裝 IT工具為攻擊「武器」

隨著人們對網路安全意識的提高，網路攻擊者也在不斷改進利用郵件的攻擊手段，來確保目標在完善電子郵件安全防禦前，搶佔感染設備的先機。

Office宏和PowerShell成為常用的攻擊工具，如上文提到的希拉里團隊競選主席約翰 •波德斯塔郵箱遭遇入侵的事件。根據FBI 調查，黑客並沒有利用任何惡意軟體或漏洞，僅通過一封魚叉式網路釣魚郵件，便成功入侵約翰 •波德斯塔的設備。該釣魚郵件偽裝成來自 Gmail 官方管理員的郵件，並在郵件中表示：受害人的郵箱可能已經受到感染，提示他需要重設密碼來確保賬戶的安全。該釣魚郵件中包含了一個短URL來掩飾真正的惡意URL。當受害人點擊該URL，就會進入一個「冒牌」的 Gmail賬戶密碼重置網頁。整個攻擊過程中，黑客僅通過簡單的社交詐騙技術，便輕鬆獲取了目標設備的密碼。

與此同時，越來越多的攻擊者選擇使用下載器在目標設備中安裝惡意程序。2016 年，檢測到大量電子郵件攻擊活動，通過惡意Office宏(W97M.Downloader及其變種)和JavaScript下載程序文件(JS.Downloader及其變種)大肆傳播勒索軟體和聯機銀行交易威脅。它們在2016年的端點監測數量高達700萬起。這些下載程序受到攻擊者青睞是有原因的。大多數企業不願意通過電子郵件網關攔截全部Office文件，因為這樣可能影響合法的電子郵件，這一點是Office宏下載程序廣泛流行的重要原因。同時，腳本文件的易混淆性可使其躲避檢測，這是JavaScript下載程序泛濫加劇的原因之一。

Necurs是2016年傳播惡意軟體最瘋狂的殭屍網路，通過電子郵件大肆傳播JavaScript、VBS和Office宏等下載程序，併發起大規模攻擊活動。2016年，Locky等勒索軟體威脅便是通過這樣的方式感染受害設備，並對受害人進行勒索。

▲ 電子郵件傳播惡意軟體的感染過程

簡單有效的社交騙局——BEC詐騙增長勢頭強勁

上文提到攻擊者在2016年愈發傾向於採用簡單的工具和看起來平淡無奇的招數就能夠給企業和目標組織帶來巨大的災難。作為社交騙局的其中一種，商務電郵詐騙(Business Email Compromise)在去年出現顯著的增加。此類攻擊也被稱為 CEO 欺詐或「鯨釣」攻擊。無需任何專業的技術手段與能力，詐騙者只需偽裝成企業 CEO 或其他高管，向其員工發送仿冒電子郵件，隨後要求員工進行網上轉賬，便可完成攻擊。儘管實施詐騙的技術手段並不高明，但犯罪者一旦成功實施詐騙，便可從中獲得巨大經濟回報，對相關企業造成重大的經濟損失。2016 年年初，奧地利飛機零件製造商遭遇BEC 詐騙，共造成5000萬美元的財產損失，隨後該公司立即解僱了CEO。

2016 年上半年，超過400 家企業每天都在遭遇 BEC 詐騙，其中，中小型企業最易受到攻擊。根據美國聯邦調查局(FBI)的評估結果顯示，過去三年來，BEC 詐騙共造成全球 30 多億美元的經濟損失，受害者超過 2.2萬名。

通過分析2016年所發布的623起重大惡意電子郵件攻擊活動后發現，BEC騙局所發送的郵件多是在工作日，郵件主題通常包含 「請求(Request)」、「付款(Payment)」、「緊急(Urgent)」、」發票(Invoice)」、」訂單(Order)」、」賬單(Bill)」等字樣。其中，「請求」是 BEC 詐騙郵件主題中最常用的關鍵字(25%)，緊隨其後的分別是「付款」 (15%)和「緊急」 (10%)。

▲ BEC詐騙郵件中的常用主題與關鍵字

使用金融關鍵字發起攻擊已經成為惡意電子郵件攻擊的特徵之一。這一發現表明，攻擊者利用這種手段的成功率非常高。由於大多數企業每天都會收到大量來自客戶和供應商的常規業務郵件，因此一旦這些電子郵件成功躲避安全軟體，用戶十分容易受到蒙蔽，從而點擊郵件。由於BEC騙局的利益回報率十分誘人，因此我們預計，在2017 年，此類詐騙將會繼續呈現增長勢頭。

電子郵件成為勒索軟體感染個人的主要途徑之一

2016 年，勒索軟體成為個人和企業所面臨的重大網路威脅之一。而通過偽裝成企業通知或發票等常規業務溝通內容的惡意電子郵件成為勒索軟體傳播的熱門途徑。2016 年，勒索軟體團伙利用Necurs殭屍網路每天發出上萬封惡意電子郵件。而多數如Locky (Ransom.Locky) 這樣廣泛傳播的勒索軟體都是通過電子郵件進行散播。許多情況下，受害者會收到一封主題為企業發票或收據的郵件，該郵件會以精心纂寫的內容誘使收件人打開惡意附件，與此同時，惡意下載程序便會下載並將勒索軟體安裝在設備中，隨即開始加密計算機上已預編程的一系列文件，然後實施勒索。大多數最新的勒索軟體家族使用強密碼手段，這就意味著，受害者在沒有加密密鑰的情況下幾乎不可能打開被加密文件。由於勒索軟體變種會不定期出現，強烈建議用戶對尤其包含URL和附件的未知電子郵件保持警惕。

▲ 垃圾郵件攻擊是勒索軟體威脅的主要傳播途徑之一

利用電子郵件發動網路攻擊數據的增長表明，攻擊者正在利用這種方式大發橫財，預計在未來一年，電子郵件依然會繼續成為網路攻擊的主要途徑之一。

安全防護建議

隨著攻擊者開始大規模使用電子郵件替代漏洞工具傳播惡意軟體，並實施攻擊，建議企業與用戶應該採取以下措施來抵禦利用電子郵件所傳播的安全威脅：

• 安裝全方位安全保護解決方案，有效抵禦經由電子郵件所傳播的威脅。例如 Symantec Email Security.cloud 可以攔截電子郵件所攜帶的威脅，而 Symantec Endpoint Protection 則可以攔截端點上的惡意軟體。

• 刪除可疑電子郵件，特別是一些包含鏈接或附件的郵件。

• 時刻警惕任何建議用戶啟用宏來查看內容的 Microsoft Office電子郵件附件。若無法確定電子郵件來源真實可靠，請勿啟用宏，並立即刪除郵件。

• 保持電腦操作系統及其他軟體處於最新狀態。軟體更新所用的補丁通常用於處理新發現的安全漏洞，如果處理不及時可能會被攻擊者非法利用。

• 對於不按常規程序要求進行的一些行為保持警惕。

• 請直接從公司通訊錄中獲取真實發件人的電子郵件信息進行回復，而不是簡單地點擊回復按鈕，以確保回複線程的安全。

• 強制要求所有員工執行有效的密碼策略，務必採用強密碼，並經常更換。

• 請勿使用電子郵件中的鏈接連接到網站，除非用戶能確定這些鏈接的真實性。請將 URL 直接輸入到地址欄中，確保連接到合法網站，而不是一個地址類似的錯誤地址。