Palo Alto Networks的研究工作人员发觉网络钓鱼攻击关键聚集在2020年3月的个体防护设备(PPE)和检测工具,及其从4月到2020年夏天的政府部门刺激性方案(包含仿冒的英国貿易联合会网址,该网站假冒美国联邦贸易委员会以盗取客户凭据)和从2020年秋后逐渐的疫苗(包含仿冒的辉瑞和BioNTech网站也盗取了客户凭据)。特别注意的是,研究工作人员发觉,从2020年12月到2021年2月,与疫苗有关的网络钓鱼进攻总数提升了530%,而与药店和医院门诊有关或对于药房和诊所的网络钓鱼进攻总数在同一时间内提高了189%。
研究工作人员的分析表明,微软公司是网络攻击最关心的知名品牌。例如,网络攻击设定了仿冒的Microsoft网页页面,以盗取例如Walgreens(坐落于英国),Pharmascience(坐落于澳大利亚),Glenmark Pharmaceuticals(坐落于印度的)和Junshi Biosciences(坐落于我国)等单位的职工凭证。
研究工作人员预测分析,伴随着疫苗的不断营销推广,与疫苗散播有关的网络钓鱼进攻(包含对于保健医疗和生物科学领域的进攻)将再次在全世界范畴内提升。
网络钓鱼发展趋势
自2020年1月至今,研究工作人员早已观查到与新冠疫情有关主题连接的69950个垂钓URL,在其中33447个与新冠疫情自身立即连接。在图1中,研究工作人员制作了那些不一样主题随時间的相对性受大家喜爱水平,并进行了规范性解决,以使每一个主题的最高值受大家喜爱水平均为100%。仔细观察每一个五颜六色一部分的相对高度随時间的转变,研究工作人员能够看见一些主题依然是网络钓鱼进攻的平稳总体目标,而别的主题在每个时间点都经历了更显著的最高值。狂妄自大时兴逐渐至今,例如,药物和虚似搜集(例如Zoom)一直是网络钓鱼进攻的比较稳定的总体目标;另一方面,疫苗的研发使网络钓鱼的进攻又做到了新一波高峰期。
2020年1月至2021年2月以新冠病毒感染为主题的网络钓鱼进攻发展趋势
针对发觉以已经知道知名品牌为方向的以新冠疫情为主题的网络钓鱼网页页面,研究工作人员明确这种进攻中的大部分尝试盗取客户的商业服务凭证:例如, Microsoft,Webmail,Outlook等。图2中的每一个栏意味着尝试盗取该特殊网址的账号登录凭证的网络钓鱼URL的百分数。例如,大概23%的以新冠疫情为主题的网络钓鱼URL是仿冒的Microsoft登陆页面。伴随着大流行驱使很多职工开展远程工作,这种与工作有关的网络钓鱼试着已变成互联网犯罪嫌疑人愈来愈关键的进攻方式。
与新冠疫情有关的URL(全局性)中的顶尖网络钓鱼总体目标,每一个横杠意味着尝试盗取该特殊网址的账号登录凭证的网络钓鱼URL的百分数。一定要注意,在这里图上,研究工作人员仅包括对于可鉴别知名品牌的URL。
除此之外,研究工作人员注意到,根据这种以新冠疫情为主题的网络钓鱼进攻,网络攻击已经持续建立新的网址来代管其网络钓鱼主题活动。在图3中,该图表明了研究工作人员发觉代管新冠疫情有关的网络钓鱼网页页面的每一个平台的生活時间,研究工作人员能够看见很多与新冠疫情有关的网络钓鱼网页页面都代管在创好的站点上,这说明网络攻击在其预估进攻产生的前几日有心创建了那些网站,这使网络攻击还有机会制做与进攻相关的信息及其网址URL,以融入全新的大潮流趋势。
2020年1月至3月:原始浪涌保护器,检测工具和PPE
在2020年1月至2020年2月中间,伴随着新冠疫情逐渐在全世界范畴内散播,互联网犯罪嫌疑人早已逐渐试着运用将要时兴的大流行为其产生益处。在这段时间,研究工作人员发觉与新冠疫情立即有关的网络钓鱼进攻提升了313%。
在图4中,研究工作人员看到了以新冠疫情为主题的网络钓鱼进攻的实例。仿冒的Google表格最先会需要使用者键入电子邮箱账户密码,在之后的界面中,该报表会明确提出一系列听起来有效的身心健康有关问题,提交之前的最后一个问题规定职工根据键入其全称来开展所说的“数字签名”。
https://docs[.]google[.]com/forms/d/e/1FAIpQLSdiQL-IcnGqRIKzTVmpeQSBVRrD06c4NolWvgWcdRH-NgBx-A/viewform?vc=0&c=0&w=1&flr=0(与新冠疫情筛选有关的凭证盗取表格)
从2020年2月至3月,大家对新冠疫情蔓延到英国的忧虑快速提升。为了更好地能够满足大家保护自己和亲人的心愿,大家对检测工具、洗手消毒液和N95防护口罩等个人防护用品的兴趣爱好,乃至卫生纸之类的必须品也開始快速提升。
在网上对“新冠疫情诊断试剂盒”的爱好与新冠疫情检验有关的网络钓鱼时兴率
这种发展趋势在研究工作人员的历史时间网络钓鱼数据信息中也可以留意到,在2020年2月,研究工作人员发觉全世界范畴内与本人防护设备有关的网络钓鱼进攻提升了136%,在其中很多全是以网络购物行骗的方式发生的(见图6)。2022年3月,就在《纽约时报》报导全部英国的新冠疫情检测工具匮乏之时,研究工作人员发觉与测试工具有关的网络钓鱼进攻提升了750%。
https://atemmaske-kn95-de[.]com
除开这种诈骗网址以外,研究工作人员还观查到了看起来合理合法的检测工具经销商,这种经销商的网址因为盗取凭证而遭受进攻。在图8中,研究工作人员看到了一个仿冒的Microsoft Sharepoint登陆页面,该客户将根据网络钓鱼电子邮箱中的连接进到该网页页面。网络钓鱼页面会需要客户给予电子邮箱和Microsoft登陆密码,以查询与客户“共享资源”的时间观念比较敏感的税票。
covid-testkit[.]co[.]uk
covid-testkit[.]co[.]uk/wp-includes/images/i/Newfilesviewc7c782c3b7c54f958e7eb2efff3a49b28866b4fc22dd46cfbad9e6ac9d0cd18cca873584897b48c88d82ecf5cd62783dServices
2020年4月至7月:政府部门刺激性和救助方案
2020年4月,美国国税局逐渐向本人派发1200美金的刺激性方案。大概在同一时间,“薪酬维护方案”(PPP)大肆宣扬,这也致使了网络钓鱼进攻的快速激增。
接着,研究工作人员注意到与政府部门救助方案相关的网络钓鱼进攻在2020年4月提升了600%。如下边2个图所显示,研究工作人员表明了一个网络钓鱼网页页面的实例,该网页页面装扮成“英国貿易联合会”,这是一个仿冒的单位。该网址服务承诺为每一个人给予达到5800美金的“临时性救助股票基金”。虚报的数据统计表明在网页页面的右边,给客户一种假象,觉得也有数十亿美元沒有分派。
ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/(仿冒的“英国貿易联合会”网址)
点一下“运行认证程序流程”按键后,客户会被跳转到一个表格,规定给予社会安全号(SSN)和驾照号码。
ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/verification.php(与新冠疫情政府部门支援有关的资格证书盗取表)
在建立了正规的刺激性和救助方案以后,与经济发展救助有关的网络钓鱼进攻在下面的几个月中依然相对性时兴(见图9),由于仍有很多人必须经济发展适用。在图12中,研究工作人员见到另一个凭证盗取网页页面,规定使用者键入本人和公司信息,驾驶执照相片和银行帐号详细资料。研究工作人员在图13中见到一个相近的实例,该示例服务承诺在键入她们的银行帐号信息内容后向客户推送3000印度卢比。
covid-19-benefit[.]cabanova[.]com(与所说的新冠新冠疫情救助赠送品相关的凭证窃取网页页面)
fund4-covid19[.]com(窃取凭证的网站,规定使用者键入银行帐号信息,便于接受临时性资产)
2020年11月至2021年2月:疫苗准许和发布
伴随着疫苗的研制取得成功,网络攻击尝试利用这一发展趋势来实现进攻也就不奇怪了。从2020年12月到2021年2月,科学研究工作人员发觉与疫苗有关的互联网钓鱼进攻提升了530%(见图14)。
下面,能够看见一个仿冒网站的实例,该网站宣称意味着了辉瑞制药和BioNTech(mRNA疫苗的制造商)。钓鱼网页页面规定客户应用Office 365凭证登陆,以开展疫苗申请注册。
还需要特别注意的是,这一钓鱼网站应用了一种愈来愈广泛的技术性,即“手机客户端掩藏”。该网站并没马上揭开窃取资格证书的表格,反而是先规定客户点一下“登陆”按键,以绕开全自动的、根据网络爬虫的互联网钓鱼探测仪。
pfizer-vaccine[.]online
pfizer-vaccine[.]online(客户点一下“登陆”按键后表明的凭证窃取表格)
从2020年12月到2021年2月,科学研究工作人员发觉与药店和医院门诊有关的进攻提升了189%。
https://iwalgreens[.]beardspoles[.]cc
afmaderahospital[.]org[.]anjritlah[.]com
充分考虑新冠肺炎疫情的全世界特性,对于药物和保健医疗企业的这种互联网钓鱼主题活动好像不仅在国外如此,在全世界范畴内好像很广泛。在如图所示中,科学研究工作人员见到对于魁北克较大的制药企业Pharmascience的互联网钓鱼进攻。在图20中,科学研究工作人员见到对于总公司坐落于孟买的全世界药物生产商Glenmark Pharmaceuticals的互联网钓鱼进攻。在图21中,科学研究工作人员见到对于以深圳为产业基地的医药研发公司Junshi Biosciences的互联网钓鱼进攻。在图21的情形下,网络攻击创建了一个仿冒的登陆页面,假冒SF Express(一家我国海外交货和货运物流公司)。
afpharmascience[.]com[.]oceantrimtex.com(这也是对于魁北克较大的制药企业Pharmascience的职工开展的互联网钓鱼主题活动的一部分)
droidfreedom[.]com/wp-includes/SimplePie/filamora/negwtod/REDACTED@glenmarkpharma.com(对于以孟买为产业基地的全世界药物生产商Glenmark Pharma的互联网钓鱼主题活动的一部分)
Junshipharma-9107214068[.]parnian-distribution[.]com(对于以深圳为产业基地的医药研发公司Junshi Biosciences的职工为方向的互联网钓鱼主题活动的一部分)
在某种情形下,科学研究工作人员还会继续观查合理合法的药业公司,其网站已被毁坏并用以互联网钓鱼目地。在图22中,科学研究工作人员能够看见pharmalicensing.com是一家公司的网站,该企业可以协助联接生物科学领域的公司,该网站早已遭受侵入,并被用于代管一个假冒网页页面,以窃取客户的商业服务凭证。这类进攻很有可能尤其风险,由于初始网站的合理合法很有可能会引诱客户不正确地觉得互联网钓鱼网页页面也是正规的。
pharmalicensing.com/stone/excelzz/bizmail.php(Pharmalicensing的一个失窃用的网站,用以凭据窃取)
减轻对策
针对本人来讲:
1.在点一下异常电子邮箱中包括的连接或配件时要慎重,尤其是这些与个人帐户设定或本人信息相关的连接或配件,或是尝试传送危机感的连接或配件。
2.认证发件箱中一切异常电子邮箱的发件人详细地址。
3.键入登陆凭证以前,请认真仔细每一个网站的URL和安全认证。
4.汇报异常的互联网钓鱼妄图。
针对公司来讲:
1.执行安全意识培训,以增强职工鉴别非法行为电子邮箱的工作能力。
2.按时备份数据机构的数据信息,以防御力根据互联网钓鱼电子邮箱进行的勒索病毒进攻。
3.对全部与工作有关的登陆申请强制执行多要素身份认证,以提升安全系数。
文中翻譯自:https://unit42.paloaltonetworks.com/covid-19-themed-phishing-attacks/倘若转截,请标明全文详细地址。