報告指出，2022年已經(jīng)識別出3677個獨(dú)特的網(wǎng)絡(luò)釣魚工具包，與2021年相比增加了25%。網(wǎng)絡(luò)釣魚工具包使網(wǎng)絡(luò)犯罪分子能夠同時創(chuàng)建和操作多個網(wǎng)絡(luò)釣魚頁面。這些都是威脅行為者的有用工具，因?yàn)樗鼈兡軌蚴顾麄兒敛毁M(fèi)力地構(gòu)建和維護(hù)執(zhí)行大規(guī)模網(wǎng)絡(luò)釣魚活動所需的基礎(chǔ)設(shè)施，在遭到網(wǎng)絡(luò)安全措施阻止的情況下可以從一個主機(jī)轉(zhuǎn)移到另一個主機(jī)，并收集被盜的數(shù)據(jù)。

 

 

網(wǎng)絡(luò)釣魚網(wǎng)站旨在收集個人數(shù)據(jù)，并需要特定的方法來收集和存儲這些數(shù)據(jù)。大部分被盜數(shù)據(jù)仍然是通過電子郵件處理的。總的來說，從2022年開始，只有不到一半的網(wǎng)絡(luò)釣魚工具包依賴電子郵件來處理被盜信息，而Gmail是網(wǎng)絡(luò)釣魚工具包創(chuàng)建者最喜歡使用的電子郵件服務(wù)(45%)。

 

一個持續(xù)的趨勢是Telegram在收集被盜數(shù)據(jù)方面的流行。與前一年相比，2022年使用Telegram收集被盜數(shù)據(jù)的網(wǎng)絡(luò)釣魚工具包數(shù)量幾乎翻了一番。

 

2021年，5.6%的網(wǎng)絡(luò)釣魚工具包使用Telegram來處理被盜數(shù)據(jù)。一年后，Telegram的份額上升到9.4%。郵件的靈活性和便利性使得網(wǎng)絡(luò)罪犯幾乎可以實(shí)時地處理和管理泄露的信息。

 

許多網(wǎng)絡(luò)釣魚工具使用不止一種方法來處理被盜數(shù)據(jù)。例如，在2022年，大約有1500個網(wǎng)絡(luò)釣魚工具包包含通過Telegram、電子郵件或?qū)?shù)據(jù)寫入服務(wù)器的本地文件來傳輸被盜數(shù)據(jù)的功能，這表明它們越來越復(fù)雜。

 

 

隨著Telegram的使用量越來越多，網(wǎng)絡(luò)釣魚攻擊也變得越來越復(fù)雜，因?yàn)榫W(wǎng)絡(luò)犯罪分子專注于增強(qiáng)逃避能力，以避免被發(fā)現(xiàn)和刪除。

 

在2021～2022年期間，網(wǎng)絡(luò)釣魚工具包中發(fā)現(xiàn)的規(guī)避技術(shù)分為兩類：簡單的訪問控制機(jī)制和更先進(jìn)的檢測規(guī)避方法。

 

在第一類中，超文本訪問(.htaccess)在2022年成為最流行的規(guī)避技術(shù)——20%的檢測到的網(wǎng)絡(luò)釣魚工具包使用了這種策略。配置文件能夠使網(wǎng)站運(yùn)營商根據(jù)訪問者的IP地址限制對特定目錄的訪問。

 

2022年第二受歡迎的訪問控制策略是robots.txt(在12%的工具包中看到)，這是另一個防止機(jī)器人和搜索引擎爬蟲訪問網(wǎng)站的配置文件。

 

總體而言，與前一年相比，使用簡單訪問控制機(jī)制的數(shù)量在2022年增加了92%，達(dá)到1824個，當(dāng)時有951個網(wǎng)絡(luò)釣魚工具包使用了某種選擇性限制。

 

為了阻礙網(wǎng)絡(luò)安全專家的工作和現(xiàn)成的網(wǎng)絡(luò)安全解決方案，越來越多的網(wǎng)絡(luò)釣魚工具包包含了先進(jìn)的檢測逃避技術(shù)。基本機(jī)制包括將網(wǎng)絡(luò)安全供應(yīng)商的IP和主機(jī)名列入黑名單。

 

 

更復(fù)雜的策略包括使用反機(jī)器人技術(shù)、目錄隨機(jī)化等。2022年，2060個網(wǎng)絡(luò)釣魚工具包使用了這種策略，與一年前相比增加了26%。

 

值得注意的是，在2022年，Group-IB公司研究人員發(fā)現(xiàn)，旨在防止自動網(wǎng)絡(luò)安全掃描儀識別網(wǎng)絡(luò)釣魚內(nèi)容的反機(jī)器人技術(shù)的使用增加了40%。

 

釣魚者的主要目標(biāo)之一是延長其網(wǎng)絡(luò)釣魚的周期。因此，最常用的檢測規(guī)避技術(shù)是動態(tài)目錄。網(wǎng)絡(luò)釣魚運(yùn)營商創(chuàng)建隨機(jī)網(wǎng)站文件夾，只有個性化網(wǎng)絡(luò)釣魚URL的接收者才能訪問這些文件夾，沒有初始鏈接就無法訪問這些文件夾。

 

這種技術(shù)能夠使網(wǎng)絡(luò)釣魚者逃避檢測和黑名單，因?yàn)榫W(wǎng)絡(luò)釣魚內(nèi)容不會暴露自己。在2022年檢測到的網(wǎng)絡(luò)釣魚工具包中，有22%使用了動態(tài)目錄。

 

另一種流行的策略(在2022年11%的網(wǎng)絡(luò)釣魚工具包中觀察到)是，如果訪問者的設(shè)備參數(shù)、地理位置和推薦人與受害者的個人資料不匹配，則向訪問者顯示虛假的404頁面。

 

Group-IB公司的CEO Dmitry Volkov表示：“自動化使網(wǎng)絡(luò)釣魚者每天能夠創(chuàng)建和管理數(shù)百個網(wǎng)站。”

 

Volkov總結(jié)說，“提取和監(jiān)控網(wǎng)絡(luò)釣魚工具包是防止網(wǎng)絡(luò)釣魚攻擊的重要組成部分。它可以在網(wǎng)絡(luò)釣魚造成巨大破壞之前幫助識別和阻止它。此外，從情報收集的角度來看，對網(wǎng)絡(luò)釣魚工具包的分析是非常寶貴的，因?yàn)樗梢陨钊肓私鈱κ值牟呗浴⒓夹g(shù)和程序 (TTP)。在許多情況下，它還可以幫助企業(yè)識別網(wǎng)絡(luò)釣魚工具包的開發(fā)人員，這對起訴威脅行為者很有用。”

 

 

國內(nèi)主流的to B IT門戶，同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。