论坛备案-广西域名-个人网站备案-Check Point:攻击者通过合法email服务窃取用户凭证信息
近来, Check Point® 软件技能有限公司的研究人员对电子邮件安全展开调研,成果显现凭据搜集仍是主要进犯向量,59% 的陈述进犯与之相关。它还在商业电子邮件入侵 (BEC) 进犯中发挥了重要作用,造成了 15% 的进犯。一同,在2023年一份针对我国电子邮件安全的第三方陈述显现,与证书/凭据垂钓相关的不法活动仍居电子邮件进犯活动之首。而我国在2022年内受垂钓邮件进犯的总量仅次于美国,位居全球第二名。种种迹象均已表明,垂钓邮件这一“简单粗犷”的方法仍然受到不法分子的“青睐”。
为盗取和搜集用户凭据,网络垂钓电子邮件中会随附一个歹意 URL 或附件。Check Point 的遥测数据显现,超过一半的歹意附件是 HTML 文件。为了拐骗用户,其间许多附件伪装成了已知服务和厂商(如微软、Webmail 等)的登录页面。
图 1:按文件类型划分的歹意附件。材料来源:Check Point Research
论坛备案用户在伪造登录表单中输入自己的凭据并点击提交,然后凭据一般经过 Web 服务器或 Telegram 的 API 发送给进犯者。在过去的几个月里,CPR 观察到持续不断的进犯活动涉及数千封电子邮件,广西域名这些电子邮件运用 EmailJS、Formbold、Formspree 和 Formspark 等合法服务来获取被盗凭据。上述服务都是在线表单构建器,答运用户为自己的网站或 Web 运用创立自定义表单,并得到了开发人员的广泛运用。它们不仅为构建可嵌入到网站或运用的表单提供了用户友好型界面,并且还可提供各种表单字段类型,例如文本输入字段、单选框、复选框、下拉菜单等,以便用户以结构化的方法搜集用户信息。用户提交表单后,此类服务将处理表单数据并搜集被盗凭据。
图 2:凭据搜集流程
凭据搜集
凭据搜集是一种网络进犯,其间进犯者盗取用户名和暗码等灵敏信息,以获取个人网站备案用户对合法网络服务的初始访问权限或在网上贩卖。一般,这些进犯并非针对某一特定机构,而是企图搜集尽可能多的不同用户名和暗码来在网上dou shou。
图 3:暗网论坛出售被盗凭据。
合法邮件服务之殇
过去,进犯者主要运用两种方法来搜集凭据。榜首种方法是运用保管在受进犯站点上的 PHP 文件。然而,在这种方法中,进犯者面临着站点被网络安全解决方案阻拦的可能性。第二种方法是运用 Telegram 的 API,但这种方法被安全厂商所熟知,因而被阻拦的几率更高。现在,运用合法表单服务 API 的新方法被许多开发人员所运用,这就加大了阻拦歹意 HTML 文件的难度。借助该 API,凭据可被发送到进犯者挑选的任何方位,乃至可以发送到他自己的邮箱。
以EmailJS 为例,EmailJS 是一项答应开发人员只运用客户端技能(而无需任何服务器代码)发送电子邮件的服务。若要运用该服务,用户只需:
1、将电子邮件地址连接到该服务;
2、创立一个电子邮件模板,以确定电子邮件发送方法以及电子邮件接纳地址;
3、运用 EmailJS SDK 或 API,以运用 JavaScript 发送电子邮件。
该服务每月可免费发送最多 200 封电子邮件,而经过订阅,每月可发送多达 100,000 封电子邮件。该服务是合法的,依据其官网数据,有超过 25,000 名开发人员正在运用这项服务。
图 4:EmailJS 官网
以下两个示例说明晰进犯者正怎么运用该服务来搜集被盗凭据——
图 5:运用 EmailJS 的网络垂钓页面
在图 5 中,进犯者首要运用其公钥运用“emailJS.init”,然后运用函数“sendEmail”(当用户提交表单时被触发)和“emailjs.send”经过电子邮件将数据传输到他的电子邮件帐户。
图 6:另一个从 HTML 文件中运用 EmailJS 的示例
在图 6 中,进犯者直接运用 EmailJS API 将受害者的凭据发送给自己。上述示例均来自于咱们观察到的一同进犯活动。此外,Check Point还发现该进犯活动运用了两个不同的 EmailJS 公共 API 密钥。
一同真实的垂钓进犯
CPR近来检测到一同始于一封垂钓电子邮件的持续进犯活动,这场进犯活动用到了该电子邮件的多个版别和几个不同的 HTML 模板。
图 7:进犯活动中运用的网络垂钓电子邮件的示例
所附文件与受害者收到的电子邮件相对应,Check Point已发现了该电子邮件的多个版别。
图 8:HTML 附件伪装成文件和网页邮件登录页面
为了让登录页面看似没问题,进犯者在表单(在 HTML 文件中进行了硬编码)中填写了受害者的电子邮件地址。一旦受害者输入其凭据并尝试登录,用户名和暗码就会被直接发送到进犯者的电子邮件收件箱。
图 9:运用 EmailJS 的凭据搜集流程
图 10:运用 Formspark 的 HTML 附件的示例
防备为先刻不容缓
经过合法手法进行不发活动无疑使安全形势变得愈加杂乱。一同,本年四月Check Point揭示了怎么经过ChatGPT进行垂钓软件编写,这也意味着不法行为的实施成本也在日趋下降。因而,时间保持Check Point公司倡议的“防备为先”的安全理念,才是打造互联网安全环境的榜首步重要措施。
Check Point Threat Emulation 客户端可以防护此类进犯。考虑到逃逸型零日进犯和网络垂钓进犯的速度和杂乱性,选用 AI 深度学习 来猜测和阻挠歹意行为、且无需人工干预的解决方案将逐渐成为邮件安全防护的主流。
在 Miercom 基准测试陈述中,Check Point 取得了网络垂钓防护率高达 99.9% 的骄人成绩,完成了 99.7% 的歹意软件防护率,并且在网络垂钓、歹意软件及零日网络垂钓 URL 方面的漏检率简直为 0%。因而,Check Point有决心协助用户在歹意邮件进犯日趋严峻的形势下,仍然可以享有第一流其他安全防护,保证核心数字资产无虞。
共有 0 条评论