钓鱼邮件善伪装 天阗威胁分析一体机防中招
发布时间 2023-07-14某用户在重保值守期间,收到一封名为“财政部2023年针对个人劳动申领通知”的伪造邮件, 附件为word文档,正文中嵌入伪造的二维码,用户扫描二维码后即进入到跳转页面,显示输入银行卡号……。启明星辰天阗威胁分析一体机(TAR)监测到此邮件为黑灰产钓鱼邮件,并第一时间进行告警提醒,避免用户遭到更大损失。
邮件正文嵌入“恶意链接”
这是非常基础的攻击方式。非法者在邮件正文中嵌入诱导链接,引导受害者点击链接,进入虚假钓鱼网站或链接,以此窃取用户账号。
邮件携带“病毒附件”
非法者将远控木马、钓鱼链接或宏病毒等保存在常见的word、excel文档、加密压缩包等附件中,以躲避安全设备检测,一旦用户点击了附件,病毒就会发作。这是实战对抗、黑灰产以及APT组织钓鱼攻击中的常用方式。
钓鱼“二维码”
二维码钓鱼是常见的钓鱼方式。非法者通过伪造的二维码,仿造虚假网站的URL信息,用户识别二维码后会被导向假冒的登录页面,以此收集登录信息或个人信息。此手法钓鱼成功率高,常用于于黑灰产和实战对抗中。
面对形形色色的钓鱼邮件我们该如何检测?
天阗威胁分析一体机(TAR)来支招
邮件附件还原检测
针对邮件附件钓鱼方式,天阗威胁分析一体机(TAR)采用双向检测引擎,可对邮件原文件进行还原,内置沙箱,可对常见百余种邮件附件格式进行还原和沙箱检测,同时具备提取正文密码破解能力,可自动使用邮件正文密码爆破压缩包附件,爆破成功后对附件及其子文件进行检测。
钓鱼邮件算法检测
针对采用发件人伪造、URL域名伪造、动态域名回连等方式进行钓鱼欺骗的方式,天阗威胁分析一体机(TAR)内置钓鱼邮件检测算法,无需人工干预,即可自动对钓鱼邮件进行检测。同时具备邮件分析场景,将还原出的邮件进行检测及呈现,实现正常邮件和钓鱼邮件监测,采用中文标签方式,进行钓鱼邮件提醒。
邮件二维码检测
针对二维码钓鱼方式,天阗威胁分析一体机(TAR)可自动识别邮件二维码,并以中文标签方式进行标记,自动识别出二维码链接,使钓鱼二维码中隐藏的恶意链接无所遁形。
钓鱼邮件是一种威胁程度大、攻击见效快的入侵方式,备受非法者的青睐。因此,企事业单位在部署相应钓鱼邮件检测设备的同时,加强工作人员的防钓鱼意识,不要轻信发件人地址中的“显示名”、切勿点击陌生邮件链接。
钓鱼邮件日常防范措施
1、对于任何要求提供自己隐私(如:账号、密码、银行账号等)的邮件,要谨慎对待,不要输入信息。
2、不要轻信发件人地址中显示的“显示名”。因为显示名可以随便设置,要注意阅读发件邮箱全称。
3、不要轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接( 例如http://t.cn/xuWefTy1 )或带链接的文字来迷惑用户。
4、不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,你对邮件内容表示怀疑,可直接拨打电话向其核实。
5、不要使用公共场所的网络设备执行敏感操作。不要使用公共场所的电脑或者公共Wi-Fi登入邮箱、使用即时通讯软件、网上银行或进行其它涉及敏感资料的操作。
6、不要将敏感信息发布到互联网上。用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据,有针对性地向用户发送钓鱼邮件。
京公网安备11010802024551号