近日,邮件安全公司Egress发布的《2023年网络钓鱼威胁趋势报告》对迄今为止的流行网络钓鱼趋势进行了分析。报告回顾了今年最常见的钓鱼主题,并预测了接下来的发展趋势,同时研究了网络犯罪分子用于绕过边界防御机制的流行混淆技术,以及聊天机器人对网络钓鱼威胁的影响。
一、聊天机器人真的彻底改变了网络钓鱼吗?
网络犯罪分子滥用大型语言模型(LLM)发起攻击的可能性在2023年占据了新闻头条,但这真的改变了游戏规则吗?
2022年11月,ChatGPT的推出进一步推动了人工智能竞赛,从那时起,新闻中就充斥着各种最新的发展和应用,尤其是在网络安全行业。
像许多创新一样,大型语言模型的力量掌握在使用它们的人手中——网络犯罪分子利用聊天机器人创建网络钓鱼活动和恶意软件的可能性一直令人担忧。在《2023年电邮风险报告》中,72%的网络安全领导者表示,他们担心使用聊天机器人来促进网络钓鱼攻击。
但这在现实中有多大可能呢?
1. LLM降低了网络犯罪的准入门槛
曾几何时,通过错误的语法、拼写和荒谬的请求,可以发现很大比例的网络钓鱼邮件。在ChatGPT推出之前,这些攻击远没有那么复杂,而且得益于网络犯罪的商品化,相关犯罪网络的增长,以及犯罪即服务生态系统(包括网络钓鱼工具包和预先编写的恶意软件等产品),这些攻击的数量正有所增加。
LLM进一步降低了网络犯罪的准入门槛,使得技能有限的犯罪者也能创建出高效的网络钓鱼活动和恶意软件。这对经验不足的网络罪犯、编码能力有限的程序员,或是不能流利地用目标语言写作的人影响最大。
LLM最令人担忧但最少被提及的应用可能是侦察高度针对性的攻击。在几秒钟内,聊天机器人就可以从互联网上获取关于选定目标的开源情报(OSINT),这些情报可以用于社会工程。
此外,LLM可以提高攻击速度,比人更快地创建更大的攻击量(图1)。
图1所示的两个例子展示了419骗局的演变。第一种是一种相对明显和众所周知的攻击,大多数收件人都能识别出来;第二种是更为详细的策略,针对易受攻击的收件人,并要求预付一小笔款项
2. 假托(Pretexting)VS 有效载荷:社会工程邮件有多普遍?
威胁情报分析人员将网络钓鱼邮件的字符长度与其有效载荷相关联。为此,他们分析了170万封网络钓鱼邮件,以确定它们是否包含网络钓鱼链接或基于附件的有效载荷,或者它们是否“无有效载荷”(payloadless),仅依赖于社会工程。
数据显示,少于100个字符的网络钓鱼邮件有90%的可能性包含附件作为有效负载。钓鱼网站的链接在100 - 1199个字符之间最为普遍。字符长度在1500个或更多(大约200 -375个单词之间)时,攻击更有可能依赖于社会工程。
在附件和社会工程之间也有一个“接力棒传递”(baton pass),大约有500 - 1300个字符,将欺诈性附件和社会工程结合在一起,成为复杂的商业邮件欺诈(BEC)攻击的一部分。这是有道理的,毕竟攻击时间越长,就越有可能有复杂的假托来说服目标采取所请求的行动(见图2)。
【图2:邮件文本长度和有效负载类型之间的相关性】
到目前为止,2023年社会工程的流行程度略有增加。通过分析2022年1月至12月期间各组织收到的网络钓鱼邮件,威胁分析师发现,17.98%的网络钓鱼邮件仅依赖于社会工程。在2023年1月至9月期间,这一数字上升至19.01%。通常,社会工程策略会与不同的有效负载相结合(见图3)。
【图3:仅依靠社会工程的网络钓鱼邮件数量】
2.组织是否该担心LLM和网络钓鱼?
这一切都取决于组织的防御能力。如果组织仅依靠传统的基于签名和声誉的边界检测,那么是时候部署云电邮安全(ICES)解决方案了,它不依赖于定义库和域名检查来确定邮件是否合法。相反地,ICES将人工智能交到防御者手中,使用自然语言处理(NLP)和自然语言理解(NLU)等模型来分析邮件内容,以寻找网络钓鱼的语言标记。这些解决方案还使用机器学习来检测带有零日和新兴恶意软件负载的网络钓鱼邮件。
最终,网络钓鱼(而非LLM)仍然是主要的压力源。攻击是由人类还是机器人编写的并不重要,重要的是组织的防御系统能否检测到它。
然而,遗憾地是,有44.9%的网络钓鱼邮件不符合250个字符的限制,还有26.5%的邮件低于500个字符,目前人工智能探测器要么不能可靠地工作,要么根本不能处理71.4%的攻击。
二、隐藏在众目睽睽之下
数据显示,超过一半(55.2%)的网络钓鱼邮件包含混淆技术,以帮助网络罪犯逃避检测。
到目前为止,使用混淆技术的网络钓鱼邮件比例在2023年跃升了24.4%,达到55.2%。混淆使网络犯罪分子能够在某些检测机制中隐藏他们的攻击行为。
1.混淆技术
下面是报告中所涉混淆技术的简单概述:
- 从左到右覆盖(Left-to-right override,LTRO):用于在正文副本中伪装附件类型或欺骗NLP检测的技术。
- 空格:在白色背景上使用白色字体来伪装邮件中的字符。
- 同形字:一种欺骗形式,使用相似或相同的字符或利用UNIcode来模仿拉丁字符。
- 基于图像的攻击:邮件的正文是图片,没有文字。
- 劫持合法超链接:攻击者在合法网站上承载恶意负载或使用合法网站链接伪装最终目的地。
- HTML走私:在HTML附件中“走私”一个编码的恶意脚本。
- 编码:检测技术无法读取附件中的内容。
几乎一半(47.0%)使用混淆的网络钓鱼邮件包含两层内容,以增加绕过邮件安全防御的机会,确保邮件成功发送给目标收件人。不到三分之一(31.0%)的邮件只使用了一种混淆技术。剩下的21.2%使用了三层或更多层(见图4)。
【图4:包含不同混淆层的钓鱼邮件比例】
在网络罪犯与防御者无休止地攻防大战中,随着检测能力不断适应更新的攻击,混淆技术的受欢迎程度起起伏伏。在2023年迄今为止的钓鱼邮件中,HTML走私被证明是最受欢迎的混淆技术,占比34.0%。劫持合法超链接是第二受欢迎的攻击(占17.0%),基于图像的攻击排名第三(占13.0%)。
自2022年以来,HTML走私和基于图像的攻击的受欢迎程度都大幅上升:其中,基于图像的攻击几乎翻了两番,HTML走私几乎翻了三倍。这些技术都是高度规避性的,能够有效绕过传统的基于签名的边界检测。在HTML走私攻击中,有效负载被看似无害的html5和JavaScript掩盖,并在交付完成后重组。基于图像的攻击从邮件中删除所有字符,只留下一个超链接供基于签名的检测扫描。当与被劫持的合法超链接或尚未列入黑名单的钓鱼网站配对时,攻击将会顺利通过边界检测。
另一方面,与2022年相比,2023年1月至9月期间,网络钓鱼邮件正文副本中的LTRO和空格技术的使用有所下降。因为这些技术无法得到进一步发展,一旦检测能力能够识别它们,它们的回报率和流行度都会下降(见图5)。
【图5:2022年与2023年主要混淆技术受欢迎程度的变化】
2.混淆最常用于伪冒攻击
基于伪冒的攻击最有可能使用多种类型的混淆技术,例如23.5%的网络钓鱼邮件冒充已知公司(如客户或供应商)。紧随其后的是冒充邮递员的误传攻击(22.6%),未接语音邮件(21.2%),以及不属于供应链的流行组织的品牌冒充(19.5%)(图6-8)。
【图6:DHL冒充空白和NLP破坏攻击。攻击包含白色背景上的白色字符,但只留下黑色文本可见】
【图7:DOCUSIGN品牌冒充攻击,劫持合法超链接,意图将目标重定向到钓鱼网站】
【图8:基于图像的攻击冒充微软。该图片被超链接到一个冒充微软的凭据收集网站】
三、灰色邮件
一般来说,灰色邮件顶多只是一种干扰。但在最坏的情况下,它会增加网络钓鱼的风险。
为了了解灰色邮件是如何影响网络安全的,研究人员分析了一组公司在四周内收到的1.638亿封邮件。他们发现,平均有三分之一(34%)的邮件流可以归类为灰色邮件(涉及通知、更新和促销信息等)。
人们收到灰色邮件的概率取决于他们所从事的行业和工作。数据显示,收到最多灰色邮件的是人力资源、招聘、营销、法律、财务和教育部门的组织,以及从事财务、人力资源、客户服务和办公室管理工作的个人。
而就时间而言,周三和周五是一周中最常发送/接收灰色邮件的日子。(见图9)
1.灰色邮件对网络安全意味着什么?
(1) 更多的灰色邮件=更多的网络钓鱼邮件
研究人员发现,收到的灰色邮件和网络钓鱼邮件数量之间存在直接关联。灰色邮件数量最多的5个行业中,有4个行业收到的钓鱼邮件数量最多,只有教育和零售业例外。
收到灰色邮件钓鱼邮件数量排名前五的行业:
- 人力资源;
- 市场营销;
- 法律;
- 金融;
- 教育
收到网络钓鱼邮件数量排名前五的行业:
- 人力资源;
- 法律;
- 金融;
- 市场营销;
- 零售。
【图9:一周中每天平均灰色邮件量占邮件总流量的百分比】
严重依赖电邮进行沟通的组织将不可避免地遭遇灰色邮件,这种严重依赖也使它们成为网络罪犯的主要目标。近年来,模仿灰色邮件(例如SharePoint和社交媒体通知)的伪冒攻击有所增加。此外,在发送灰色邮件的组织中,任何泄露客户详细信息的行为都可能导致邮件地址列表被出售或转储到网上,并被用于后续攻击。
(2) 增加管理负担
灰色邮件的一个问题是,尽管是主动发送的,但许多收件人认为它很讨厌,他们可能会忘记自己订阅了什么,或者收到比预期更多的邮件。因此,员工的邮箱里可能充斥着灰色邮件和其他“无害”的垃圾邮件,给管理员带来更多管理负担,同时也推迟了他们对合法举报的钓鱼邮件采取行动的时间。
2.解决灰色邮件网络风险的建议
过滤灰色邮件将减少员工邮箱中的噪音,这不仅提高了效率,而且对网络安全也有好处。随着进入收件箱的灰色邮件越来越少,被错误地报告到滥用邮箱的邮件也越来越少,这意味着管理员可以花更多的时间来评估和分类真正的网络钓鱼邮件。
此外,组织应该思考他们教育员工网络钓鱼风险的方法。除了常规训练之外,动态banner也可以添加到入站电邮中,使用中立的网络钓鱼邮件提供持续、及时和相关的教育。这种方法被证明可以提高人们准确报告网络钓鱼邮件的能力。
结语
随着威胁的发展,网络安全行业需要共同努力来管理电邮的人为风险。希望本网络钓鱼威胁趋势报告可以帮助组织了解网络钓鱼攻击趋势的变化,并重新思考如何调整防御措施的关键因素。
原文链接:https://www.egress.com/media/mq4kwitu/egress_phishing_threat_trends_report.pdf
