高度复杂的网络钓鱼欺诈正在滥用人们的假日情绪
执行摘要
Akamai 安全情报组观察到一个高度复杂的新网络钓鱼工具包,发现该工具包在假日季来临之前模仿了几个大型零售品牌。
该工具包结合使用了社会工程、多种规避检测技术和访问控制来绕过安全措施。
其中一种规避技术是新型技术,即利用 URI 碎片。传送欺诈信息的电子邮件包含一个令牌,该令牌稍后会被用于重建让受害者访问的 URI 链接。如果没有获得并使用该令牌,任何受害者在访问网络钓鱼欺诈信息时将无法进入网络钓鱼登陆页面。该工具包不仅会滥用它所模仿的品牌,还会假借托管公司值得信赖的声誉来滥用托管公司。
攻击者滥用 URL 缩短器、伪造的用户个人资料和荐言以及 CDN 功能来实现基础架构恢复能力。
该工具包仅针对特定的地理区域,而且不允许预期目标地理区域之外的用户访问。该活动的目标是北美地区,占受害者总数的 89%。
我们已经列出了 相关 IOC。
概述
网络钓鱼仍然屡屡得手。威胁持续演变并且日益复杂,虽然我们多年来一直在开展宣传和培训,但网络钓鱼仍然是最常见的 攻击媒介。在上述两个事实的基础上,如果再加上一个高度复杂的网络钓鱼工具包,势必会让整个局面变得更加危险。随着我们进入假日季,这是众所周知的网络钓鱼成功高峰期,我们必须特别注意防范这些欺诈活动。
从 2022 年 9 月中旬到 2022 年 10 月末,Akamai 研究人员发现并追踪了一项以假日优惠为诱饵的持续网络钓鱼活动。这一特殊活动以有机会赢得奖品为借口来诱骗受害者,让受害者“只需”提供信用卡详细信息来支付运费即可。从欺诈活动的时机以及劳动节和万圣节前后的常见促销活动来看,该工具包在受害者看来似乎完全合法(图 1)。
通过迎合节日气氛,该工具包模仿了一种众所周知的合法零售营销策略。借助情绪反应,攻击者能够更令人信服地与受害者接触。这是一种全方位的社会工程:利用受害者的节日情绪,并向其承诺只要提供个人信息就能获得奖励。受害者的情绪反应为攻击者带来了有利的结果:信用卡信息。
图 1:假日网络钓鱼活动
正如您在图 1 中所看到的,该工具包的品牌标识非常复杂。该工具包以高度现实的方式滥用了多个知名品牌。然而,仅靠它本身还不够,该活动还通过创建敏捷的基础架构和服务来逃避检测:这是一个特别危险的组合。
这种类型的社会工程类似于我们去年分析的“问题测验”网络钓鱼活动。但是,该新活动的独特之处在于,假冒网站在视觉上设计得极为精良,很容易获得受害者的信任。通过表现得尽可能真实可信,提升了成功获取信用卡号的可能性。
这些网络钓鱼工具包越来越复杂,因为攻击者越来越复杂。该活动表明了攻击者对安全产品的局限性以及网络钓鱼攻击检测方面的不足了如指掌。在本博文中,我们将探讨该新工具包,为什么它会成功,以及我们如何在进入繁忙的假日季时避免成为此类欺诈活动的受害者。
社会工程技术
为了使欺诈活动更加有效,攻击者针对受害者使用了各种社会工程策略和技术,以增强紧迫感和/或信任感。当我们对某件事产生情绪反应时,我们的洞察力很可能会不比平常并且冲动行事。例如,其中一种技术便通过使优惠活动具有时间敏感性(例如,您有五分钟的时间来回答问题)来向受害者施压。这会诱发压力,可能会导致我们忽略我们本可能注意到的细节。其他技术包括创建一个虚假用户论坛,发布虚假用户从目标零售商“赢得”和“获得免费奖品”的虚假推荐内容。这给人一种虚假的安全感,因为我们习惯于看到这类影响全体的客户推荐。
由于该工具包模仿了多个品牌,因此必须对这些虚假客户个人资料进行分析。虚假用户“Natalie Hamilton”被反复利用和/或稍作修改以用于各种欺诈(图 2)。奖品评论按需定制,包括图片,乍一看似乎很真实,因为获奖者对奖品赞不绝口。这一切都是为了让受害者信以为真。此外,个人资料图片在各种欺诈活动进行时会发生变化,因此即使受害者遭遇多次欺诈活动,可能仍然不会发现受到了欺诈攻击。容易露出马脚的是奖励品中的评论存在高度相似性,而普通互联网用户可能不会注意到这一点。
图 2:虚假用户“Natalie Hamilton”
活动基础架构
多年来,网络钓鱼产品得到了显著改进,这导致攻击者使用的规避技术不断发展,占了上风。攻击者之所以成功,很大程度上是因为工具包保持活跃,这意味着逃避检测。这是该工具包的一个重要特征:攻击者使用的策略使工具包更难分类,致使工具包得以保持活跃,甚至可能再次让同一个人成为受害者。即使网络钓鱼网站被检测到并被归类为恶意网站,工具包也仍然保持活跃。攻击者使用了弹性基础架构,可以使用相同或相似的基础架构重新启动新的攻击变体。
在所采用的基础架构的核心,我们能够看到一个嵌套的重定向链,从通过电子邮件网络钓鱼消息传递给受害者的初始链接开始,最终通往欺诈活动的登陆页面,即网络钓鱼网站。那些嵌套的重定向链非常复杂并且有多种用途。让我们看一下攻击者所采用的技术的一些详细信息。
图 3:嵌套的重定向链
滥用 URL 缩短器
我们的互联网用户已经习惯了 URL 缩短器,根据具体的来源,甚至在某种程度上信任它。诸如 bit.ly 或社交媒体网站之类的服务简直无处不在,以至于我们在点击链接时甚至连睫毛都不眨一下,却没有看到它实际指向的位置。这就是该工具包滥用得以成功的核心策略。
攻击流如下所示:欺诈活动通过电子邮件传递。在某些情况下,攻击者会使用 URL 缩短器掩盖目标。该攻击者创建了虚假的 LinkedIn 个人资料,以创建指向恶意目标的帖子,这为他们提供了在发送给潜在受害者的初始电子邮件中所采用的缩短 URL。使用 URL 缩短器来掩盖网络钓鱼欺诈背后的恶意 URL 对需要确定给定电子邮件链接附件所涉及风险的安全产品提出了挑战。这类活动使用多层重定向,能够嵌套并灵活更改,因此更难被检测为恶意活动。
滥用合法的网络服务声誉
为了提高复杂性,重定向链中的另一个可选跃点是使用服务提供商来托管欺诈重定向功能。攻击者会利用各种服务,例如 Google Cloud Storage、AWS 托管服务和 Azure Blob Storage。我们高度怀疑攻击者是在利用这些服务值得信赖的声誉。这增加了攻击活动绕过任何反网络钓鱼机制的可能性。我们还发现,初始网络钓鱼电子邮件中使用的图片也托管在其中一些具有相同目标的服务上。
利用 URI 碎片标识符重定向
URL 碎片标识符是 URI 链接中的哈希标记 (#),也称为 HTML 定位标记,可将浏览器指向页面或网站中的特定位置。这是目录或其他分类列表中常用的一种技术,可提供更优质的用户体验。HTML 定位标记后面的值不会被视为 HTTP 参数,也不会被发送到服务器,但受害者浏览器上运行的 JavaScript 代码可以访问该值。在网络钓鱼欺诈的上下文中,安全产品扫描 HTML 定位标记后面放置的值以验证是否存在恶意活动时,可能会忽略该值或不予理会。如果通过流量检查工具查看,也会漏掉该值。
在这类网络钓鱼活动中,我们发现了一种我们以前从未见过的技术:不是将 URI 碎片作为 HTML 定位标记,而是作为一种规避行为。
图 4:URL 碎片标识符重定向操作步骤
我们可以发现,发送到受害者电子邮件的初始链接包含一个 HTML 定位标记,后面跟着一个令牌(图 3,步骤 1)。稍后,受害者浏览器上的 JavaScript 会使用该令牌来重建让受害者访问的 URI 链接(图 3,步骤 2)。如果没有获得并使用该令牌,任何受害者在访问网络钓鱼欺诈信息时将无法进入网络钓鱼登陆页面。这意味着,没有初始链接的访问者将被过滤掉。重要的是,在呈现重定向页面时未运行 JavaScript 的基于浏览器的访问也将失败。为了到达恶意登陆页面,浏览器必须能够构造重定向 URI。这是绕过安全机制的又一直接措施,例如扫描可疑链接且不使用无界面浏览器功能的网络抓取程序。
攻击者还利用令牌跟踪受害者并查找有关潜在受害者参与率的统计数据。这会让攻击者了解哪些攻击手段有效,哪些无效,哪种方法可以用来使攻击目标更有针对性,从而增加成功的可能性。
利用随机生成的 URL
该工具包的独特之处在于如何严格保护可以访问它的用户。在过滤掉不需要的访问者的活动过程中,该工具包会生成一个随机 URL,该 URL 与特定用户绑定,作为重定向链的一部分。登陆网络钓鱼网站后,每个分配的 URL 只能由特定用户使用。
利用此功能,攻击者可以确保在随机生成的 URL 被报告为可疑 URL 的情况下,其他用户将无法访问。因此,该网站可以避开检测技术。
利用 CDN 的强大功能
与滥用网络托管服务以获得可信声誉类似,该欺诈活动的登陆页面使用了 CDN 供应商提供的一些服务,包括域注册。攻击者利用快速简便的注册来轻松启动实例,然后轮换网络钓鱼网站域名,两者都无需关闭网络钓鱼网站基础架构。攻击者还会轮换与 CDN 关联并在不同 CDN 客户之间共享的 IP 地址,一些可能被视为合法地址,而另一些可能被视为恶意地址。这将避开基于 IP 地址的阻止,因为这种阻止可能会导致合法流量的错误阻止。我们还怀疑防御性 CDN 功能(例如阻止爬虫程序流量)也用于保护网络钓鱼网站免受合法安全抓取程序和扫描程序的攻击。
地域定向攻击活动
根据我们的研究,登陆网站根据受害者的地理位置而变化,有些地理位置根本无法访问。我们跟踪的活动主要来自美国,这意味着该活动专门针对美国受害者。我们怀疑,通过限制不需要的访问,攻击者还可以降低网络钓鱼网站被试图在美国境外访问该网站的安全产品检测到的风险。同一网络钓鱼链接指向具有不同地理定制设置的不同网站,这再次凸显了该活动的规模、成效和复杂程度。
Akamai 的全球视野验证了我们的假设,即该活动是地域定向攻击:我们可以发现,89% 的网络钓鱼欺诈受害者都在美国和加拿大。
总结
如果说我们从对该工具包的分析中学到了什么,那就是,我们知道了网络钓鱼欺诈为什么仍然会屡屡得手。攻击者了解抵御技巧、策略和程序,再结合社会工程技术,这无疑加大了对这类工具包的检测难度(并非不可能),更不用说防御了。本博文并非意在探讨任何安全产品或供应商的成效,而是展示攻击者如何通过削弱多层防御措施来实现恶意攻击目标。
在信息安全社区中,关于是何种因素让威胁变得“复杂”已有很多讨论。是感染的方式吗?是保持持久性的方式吗?还是逃避检测的方式?无论您对“复杂”的界定方式如何,这种工具包都算得上复杂。它包含成功得逞所需的全部要素:使用商业服务、灵活的重定向链、地理拦截和碎片式的 URI 令牌。此外,它也体现出攻击者充分理解安全产品的运作机制,以及如何才能利用这些机制让自己受益。
本博文中的信息还着重关注了攻击者发起有效网络钓鱼活动的策略。这不是一场零和博弈。就算检测到并缓解了一种钓鱼工具包的攻击,也不代表攻击者没能得逞。攻击得逞的主要决定因素包括:攻击活动在未被发现的情况下持续进行了多久、欺诈活动的伪装有多真实,以及受害者陷入欺诈骗局有多深。
这种欺诈攻击的复杂程度在一定程度上源自对商业服务的使用,这应该引起高度担忧。攻击者利用其中一些可供公众免费使用的服务,成功执行了恶意攻击。此外,在针对消费者的广泛攻击中使用这种级别的基础架构和先进技术让攻击活动取得成功,这令人感到不安,因为这些复杂的定向网络钓鱼攻击更难抵御。
考虑到美国假日季刚刚拉开序幕,我们预计后续还会出现更多利用假日氛围发起的攻击。我们建议每个人都保持警惕,确保安全。请记住:划算到不可思议的优惠很可能就是陷阱。
相关 IOC
重定向链接
https://bit{.}ly/3UQIwa0
https://lnkd{.}in/edDq4cs3
https://lnkd{.}in/etjsM9uZ
https://lnkd{.}in/e5F472JX
https://bit{.}ly/3SLisva
https://lnkd{.}in/eFnXm9CV
https://nmvcbndhrhasdfsdfasasdfadfdf.storage.googleapis{.}com/ubnxc
https://lnkd{.}in/eAYVYHUq https://dddddmqlkdsfjmlkjfapoieurpaoierqjkdfhlsdjfmklsdfkls.storage.googleapis{.}com/paerili
https://lnkd{.}in/ese6ta3F
https://lnkd{.}in/equr8wQQ
https://lnkd{.}in/equr8wQQ
https://fresyhtd.blob.core.windows{.}net/cghfhgf/dryht.html
https://ecstaticfoll.blob.core.windows{.}net/nsipidityrema/epesthadhusbandsher.html
https://hhhaggatt111.blob.core.windows{.}net/hhhaddafafrra11/newfile222.html
https://erty5h45fgds4j.blob.core.windows{.}net/dfgyhkjdhgfk/fgyh45hgjfghj.html
https://keroighzemhzrs.s3.amazonaws{.}com/ztgeipjmgfze.html
https://cxsdezda.s3.amazonaws{.}com/zsjverghi.html
cohgtdredajisfransi.s3.amazonaws{.}com/mobilise.html
https://lnkd.in/eKtXCivg
网络钓鱼登陆域
opticshair{.}live
metalicanar{.}com
havocblume{.}com
fashionbrall{.}com
stirringglass{.}com
jetingsign{.}info
nauseaspinn{.}info
foresterdam{.}info
wharfposition{.}com
outstriplander{.}live
qualiagolf{.}info
kimonosuit{.}info