如今，大多數(shù)企業(yè)都投資了某種電子郵件安全解決方案。然而，即使是最先進(jìn)的工具，在現(xiàn)代網(wǎng)絡(luò)釣魚攻擊面前也存在顯著的局限性。

數(shù)據(jù)表明，盡管在安全產(chǎn)品和培訓(xùn)上投入巨大，網(wǎng)絡(luò)釣魚仍然是一個(gè)嚴(yán)重的問題（甚至比以前更嚴(yán)重！）。根據(jù) Verizon 的觀察，2024 年，涉及人為因素的基于身份的攻擊手段（如網(wǎng)絡(luò)釣魚和憑據(jù)竊取）占初始訪問的 80%，而根據(jù) IDSA 的數(shù)據(jù)，69% 的企業(yè)在 2024 年經(jīng)歷了網(wǎng)絡(luò)釣魚事件。

IDSA 2024 年數(shù)字身份報(bào)告 來源：IDSA

那么，為什么網(wǎng)絡(luò)釣魚攻擊對(duì)攻擊者仍然如此有效？

現(xiàn)代網(wǎng)絡(luò)釣魚攻擊繞過了現(xiàn)有防御手段

首先，我們來看看現(xiàn)狀：企業(yè)在阻止憑據(jù)釣魚時(shí)通常依賴哪些控制措施和功能？

如果你使用的是電子郵件安全解決方案，你在檢測(cè)惡意釣魚頁面時(shí)依賴以下核心功能：

• 已知惡意域名/IP 黑名單： 通過威脅情報(bào)（TI）阻止用戶訪問已知惡意或未經(jīng)批準(zhǔn)的域名/URL，并阻止來自已知惡意 IP 的流量。
• 惡意網(wǎng)頁檢測(cè)： 通過將網(wǎng)頁加載到沙箱中來檢測(cè)惡意元素。

這些功能也適用于其他解決方案，如基于網(wǎng)絡(luò)的內(nèi)容過濾（例如 Google Safe Browsing）、云訪問安全代理（CASB）、安全訪問服務(wù)邊緣（SASE）、安全 Web 網(wǎng)關(guān)（SWG）等。

然而，攻擊者現(xiàn)在正在使用特定的戰(zhàn)術(shù)、技術(shù)、程序（TTPs）和工具來繞過這些解決方案。

讓我們來看看這些控制措施在哪些方面失效。

攻擊者使用新工具和技術(shù)進(jìn)行創(chuàng)新

如今，絕大多數(shù)網(wǎng)絡(luò)釣魚攻擊都是通過“中間人攻擊”（AitM）釣魚工具包執(zhí)行的，這些工具包也被稱為“MFA 繞過”工具包。

這些工具包使用專用工具充當(dāng)目標(biāo)用戶與應(yīng)用程序合法登錄門戶之間的代理。這使得目標(biāo)用戶可以使用他們使用的合法服務(wù)成功登錄，甚至繼續(xù)與之交互。

由于這是真實(shí)應(yīng)用的代理，頁面將與用戶的期望完全一致，因?yàn)樗麄冋诘卿浐戏ㄕ军c(diǎn)——只是通過攻擊者的設(shè)備繞了道。

然而，因?yàn)楣粽呶挥谶B接的中間，他們能夠觀察所有交互，攔截諸如憑據(jù)、MFA 代碼和會(huì)話令牌等認(rèn)證材料，從而控制認(rèn)證會(huì)話并接管用戶賬戶。

Evilginx 被用于接管 M365 賬戶 來源：Push Security

MFA 曾經(jīng)被廣泛認(rèn)為是網(wǎng)絡(luò)釣魚的“銀彈”（我們都記得微軟的統(tǒng)計(jì)數(shù)據(jù)“MFA 阻止了超過 99% 的基于身份的攻擊”），但已不再如此。

這些工具包不僅能夠有效繞過 MFA 等其他反釣魚控制措施，攻擊者還專門設(shè)計(jì)它們來規(guī)避常見的檢測(cè)工具和技術(shù)。

使用 Push Security 保護(hù)和防御身份攻擊面

預(yù)約演示，了解 Push 基于瀏覽器的身份安全平臺(tái)如何防止 MFA 繞過釣魚、憑據(jù)填充、密碼噴射和會(huì)話劫持等賬戶接管攻擊。

在員工瀏覽器中查找、修復(fù)和防御工作身份。

已知惡意黑名單無法跟上節(jié)奏

已知惡意黑名單的根本局限性在于它們專注于攻擊者易于更改的指標(biāo)，進(jìn)而導(dǎo)致基于這些指標(biāo)的檢測(cè)容易被繞過。

攻擊者非常擅長(zhǎng)偽裝和輪換這些元素。在現(xiàn)代網(wǎng)絡(luò)釣魚攻擊中，每個(gè)目標(biāo)都可以收到獨(dú)特的電子郵件和鏈接。甚至僅使用 URL 縮短器就可以繞過這種檢測(cè)。這相當(dāng)于惡意軟件的哈希值——很容易更改，因此不是檢測(cè)的最佳依賴點(diǎn)。這類檢測(cè)位于“痛苦金字塔”的底部。

你可以查看用戶連接的 IP 地址，但攻擊者現(xiàn)在很容易在他們的云托管服務(wù)器上添加新的 IP。如果一個(gè)域名被標(biāo)記為已知惡意，攻擊者只需注冊(cè)一個(gè)新域名，或者入侵一個(gè)已經(jīng)受信任的域名上的 WordPress 服務(wù)器。

由于攻擊者預(yù)先計(jì)劃他們的域名最終會(huì)被拉入黑名單，這些情況正大規(guī)模發(fā)生。攻擊者非常愿意為每個(gè)新域名支付 10-20 美元，因?yàn)檫@與潛在的犯罪收益相比微不足道。

例如，最近包括 Tycoon、Nakedpages、Evilginx 在內(nèi)的“中間人攻擊”釣魚工具包被發(fā)現(xiàn)輪換它們解析的 URL（來自不斷刷新的 URL 池），偽裝 HTTP Referer 頭以隱藏可疑的重定向，并在非目標(biāo)受害者嘗試訪問頁面時(shí)重定向到良性（合法）域名。

在許多情況下，攻擊者還利用合法的 SaaS 服務(wù)進(jìn)行他們的活動(dòng)（有時(shí)甚至使用電子郵件保護(hù)服務(wù)?。?，這進(jìn)一步增加了區(qū)分真實(shí)鏈接和有害鏈接的難度。

但這里還有一個(gè)更大的問題——對(duì)于防御者來說，要知道某個(gè) URL、IP 或域名是惡意的，必須先有人報(bào)告。然而，事情何時(shí)會(huì)被報(bào)告呢？通常是在被用于攻擊之后——因此，不幸的是，總會(huì)有人受到傷害。

惡意網(wǎng)頁檢測(cè)正在失效

攻擊者使用各種技巧來防止安全工具和機(jī)器人訪問他們的釣魚頁面進(jìn)行分析。

使用合法服務(wù)來托管他們的域名越來越普遍，例如使用 Cloudflare Workers 作為初始網(wǎng)關(guān)，并使用 Cloudflare Turnstile 來阻止安全機(jī)器人訪問頁面。

即使你能繞過 Turnstile，你還需要提供正確的 URL 參數(shù)和標(biāo)頭，并執(zhí)行 JavaScript，才能加載惡意頁面。這意味著，即使防御者知道域名，僅通過向該域名發(fā)出簡(jiǎn)單的 HTTP(S) 請(qǐng)求也無法發(fā)現(xiàn)惡意行為。

如果這些還不夠，他們還對(duì)視覺和 DOM 元素進(jìn)行了混淆，以防止基于簽名的檢測(cè)——因此，即使你能訪問頁面，你的檢測(cè)也很有可能不會(huì)觸發(fā)。

通過更改 DOM 結(jié)構(gòu)，攻擊者加載功能相同但在底層完全不同的頁面。

比較合法頁面的 DOM 結(jié)構(gòu)與攻擊者克隆的頁面 來源：Push Security

他們還隨機(jī)化頁面標(biāo)題、動(dòng)態(tài)解碼文本、更改圖像元素的大小和名稱、使用不同的圖標(biāo)、模糊背景、替換標(biāo)志等……這一切都是為了擊敗常見的檢測(cè)手段。

左圖是一個(gè)偽造的登錄頁面——看起來相當(dāng)可信，對(duì)吧？來源：Push Security

面對(duì)這些手段，防御者難以跟上節(jié)奏也就不足為奇了。

構(gòu)建更好的網(wǎng)絡(luò)釣魚防護(hù)措施

歷史上有，行業(yè)將電子郵件安全解決方案和反釣魚視為同一事物。但很明顯，基于電子郵件的釣魚防護(hù)在面對(duì)現(xiàn)代憑據(jù)釣魚攻擊（目前最常見和最有影響力的釣魚變體）時(shí)已經(jīng)力不從心。

這并不是說基于電子郵件的解決方案毫無價(jià)值——遠(yuǎn)非如此。但僅依賴電子郵件掃描器來檢測(cè)釣魚頁面作為單一的防御線已經(jīng)不夠了。

以瀏覽器為基礎(chǔ)的網(wǎng)絡(luò)釣魚防護(hù)是否可行？

雖然我們習(xí)慣于將網(wǎng)絡(luò)釣魚視為通過電子郵件發(fā)生的事情，但實(shí)際上，大多數(shù)操作都發(fā)生在瀏覽器中，無論初始的傳播渠道是什么。

盡管將釣魚鏈接的傳播視為攻擊本身很誘人，但如果受害者沒有在惡意頁面上輸入他們的真實(shí)憑據(jù)，釣魚就無法成功。

Push Security 提供了一個(gè)基于瀏覽器的身份安全解決方案，能在釣魚攻擊發(fā)生的地方——員工瀏覽器中阻止攻擊。

在瀏覽器中檢測(cè)和攔截釣魚攻擊有許多優(yōu)勢(shì)。你可以看到用戶所看到的活動(dòng)網(wǎng)頁，這意味著你可以更好地發(fā)現(xiàn)頁面上運(yùn)行的惡意元素。這也意味著你可以在檢測(cè)到惡意元素時(shí)實(shí)施實(shí)時(shí)控制。

在有無 Push 的情況下，網(wǎng)絡(luò)釣魚攻擊的檢測(cè)效果有著明顯差異。

在此例中，攻擊者入侵了一個(gè) WordPress 博客以獲取一個(gè)信譽(yù)良好的域名，然后在網(wǎng)頁上運(yùn)行網(wǎng)絡(luò)釣魚工具包。他們向你的一個(gè)員工發(fā)送了包含該鏈接的電子郵件。你的 SWG 或電子郵件掃描解決方案在沙箱中檢查了它，但釣魚工具包檢測(cè)到了這一點(diǎn)并重定向到一個(gè)良性站點(diǎn)，從而通過了檢查。

你的用戶收到帶有鏈接的電子郵件，現(xiàn)在可以自由地與釣魚頁面互動(dòng)。他們?cè)陧撁嫔陷斎肓怂麄兊膽{據(jù)和 MFA 代碼，然后攻擊者竊取了認(rèn)證會(huì)話并接管了用戶賬戶。

但在有 Push 的情況下，Push 瀏覽器擴(kuò)展會(huì)檢查用戶瀏覽器中運(yùn)行的網(wǎng)頁。Push 觀察到該網(wǎng)頁是一個(gè)登錄頁面，用戶正在其中輸入密碼，檢測(cè)到：

• 用戶輸入的密碼與密碼所關(guān)聯(lián)的域名不匹配。僅基于這一檢測(cè)，用戶會(huì)自動(dòng)被重定向到一個(gè)阻止頁面。
• 渲染的 Web 應(yīng)用程序使用的是克隆應(yīng)用的登錄頁面。
• 網(wǎng)頁上正在運(yùn)行一個(gè)網(wǎng)絡(luò)釣魚工具包。

因此，用戶被阻止與釣魚站點(diǎn)互動(dòng)，無法繼續(xù)操作。

這些都是攻擊者難以（或不可能）躲避的檢測(cè)示例——如果受害者無法在你的釣魚站點(diǎn)上輸入他們的憑據(jù)，你就無法成功釣魚！

如果我們?cè)俅尾榭础巴纯嘟鹱炙?，我們可以看到，這些檢測(cè)對(duì)于攻擊者來說更難繞過，能夠比靜態(tài)的、基于威脅情報(bào)的黑名單更早地檢測(cè)和攔截賬戶接管——在任何人受到傷害之前阻止攻擊。

將“痛苦金字塔”應(yīng)用于基于身份的攻擊 來源：Push Security

親自測(cè)試

你可以免費(fèi)試用我們的一些反釣魚控制措施。點(diǎn)擊“登錄”按鈕注冊(cè)一個(gè)免費(fèi)賬戶即可開始。

使用我們的演示網(wǎng)站測(cè)試防釣魚功能 來源：Push Security

我們不只阻止網(wǎng)絡(luò)釣魚攻擊

不僅如此，Push 還提供了針對(duì)憑據(jù)填充、密碼噴射和使用被盜會(huì)話令牌進(jìn)行的會(huì)話劫持等技術(shù)的全面身份攻擊檢測(cè)和響應(yīng)能力。你還可以使用 Push 查找和修復(fù)員工使用的每個(gè)應(yīng)用程序中的身份漏洞，如：幽靈登錄、SSO 覆蓋缺口、MFA 缺口、弱密碼、泄露和重復(fù)使用的密碼、高風(fēng)險(xiǎn)的 OAuth 集成等。

本文由 Push Security 贊助撰寫。