作者:克林特·伊拉甘
安全企业邮箱是使用加密和身份验证来保护共享信息的机密性和完整性的企业邮箱。然而,恶意行为者经常通过使用欺骗性企业邮箱安全供应商品牌(例如 Proofpoint、Mimecast 和 Virtru)来利用企业邮箱系统,并部署各种类型的攻击(包括嵌入链接、HTML 附件和品牌假冒)来诱骗用户提供其凭据。 。复杂的网络钓鱼和恶意软件攻击的增加导致了大量数据泄露,侵犯了敏感信息的机密性和完整性。
安全企业邮箱通过创建共享敏感信息的受保护空间并减少未经授权的访问或泄露的可能性,在减轻这些风险方面发挥着至关重要的作用。加密协议和多重身份验证通过验证发件人和收件人的身份进一步提高企业邮箱安全性,确保未经授权的个人无法访问内容。安全企业邮箱增强并实现安全可靠的互联网体验,这是企业邮箱安全提供商的主要目标。从那里,我们将探讨这些欺骗策略如何损害信任,以及攻击者如何利用它们来利用毫无戒心的用户。
证明点
作为受欢迎的企业邮箱安全提供商,Proofpoint 提供各种服务来帮助保护组织免受网络威胁。然而,威胁行为者仍然想方设法以不同程度的复杂程度来欺骗 Proofpoint 企业邮箱,其中最令人信服的尝试是准确地欺骗主题行和正文。如图 1 所示,该企业邮箱包含嵌入的 URL,该 URL 会重定向到欺骗性的 Proofpoint 登录屏幕(如图 2 所示),一旦用户输入凭据,该登录屏幕就会重定向到虚假的 Office 365 Outlook Web App (O365 OWA) 网站。
图 1:一封示例企业邮箱,其中嵌入了 Proofpoint 凭据网络钓鱼页面的链接。
图 2:Proofpoint 凭证网络钓鱼网站欺骗凭证,重定向到虚假的 O365 OWA 网站。
过去,网络钓鱼攻击相对简单直接,往往依靠基本策略诱骗用户泄露敏感信息。例如,大量企业邮箱活动、可疑链接、通用消息以及使用低质量或不一致的徽标和品牌的不一致品牌使欺诈检测变得更容易。然而,图 3 显示了威胁参与者如何通过仔细措辞主题行、企业邮箱正文和附件名称来模仿 Proofpoint 企业邮箱。
图 3:示例企业邮箱,其中 Proofpoint 在主题行和邮件正文底部均受到欺骗。
如图 4 所示,HTML 文件附加到欺骗性 Proofpoint 安全企业邮箱中,提示受害者输入凭据以访问该消息。输入凭据后,它们会立即发送到攻击者的服务器,从而授予对用户的企业邮箱或其他敏感帐户的未经授权的访问权限。然后,攻击者可以使用这些凭据访问企业邮箱帐户、获取其他信息或在组织内执行其他网络钓鱼攻击。
本质上,品牌 HTML 附件隐藏了恶意链接,利用用户对企业邮箱中显示的 Proofpoint 品牌的信任,诱骗他们泄露敏感凭据。通过结合企业邮箱、HTML 模仿和凭据收集,攻击者可以在逃避检测的同时增加成功的机会。
图 4:附加到冒充 Proofpoint 企业邮箱的凭据网络钓鱼 HTML 文件。
图 5 显示了另一个很好的示例,其中威胁行为者使用适当的图像、外部重定向按钮和企业邮箱免责声明来模仿 Proofpoint HTML 附件。然而,经过仔细检查,人们可以确定扣押不合法。威胁行为者使用 Barracuda 和 Proofpoint 品牌图像和免责声明来使附件看起来合法。然而,Barracuda 和 Proofpoint 是相互竞争的网络安全供应商,各自提供独特的产品线、技术和方法来确保企业邮箱安全,抵御网络钓鱼、恶意软件和垃圾邮件等威胁。因此,它们不会一起出现在同一安全配置中。
图6显示,按下“点击阅读消息”按钮后,受害者将被重定向到验证码网站,该网站会重定向到虚假的O365网站,如图7所示。
图 5:Proofpoint 安全企业邮箱和 Barracuda 欺骗性企业邮箱附件。
图 6:Proofpoint 和 Barracuda 欺骗附件链接到由不良行为者控制并受验证码保护的网站。
图 7:验证码完成后,受害者会看到一个带有 O365 标识符的虚假网络钓鱼页面。
图 8 显示了用于初始网络钓鱼附件的原始 HTML 示例。请注意,有一条评论说“品牌:您可能需要设置标题”,这表明该附件旨在通过简单地更改几行文本来灵活且可在多个不同的欺骗品牌之间重复使用。
图 8:Proofpoint 和 Barracuda 欺骗企业邮箱附件中使用的 HTML 文件的内容。
模仿秀
Mimecast 作为历史最悠久、规模最大的企业邮箱安全提供商之一,无法逃过恶意行为者的眼睛。当供应商的品牌受欢迎且可信时,威胁行为者就会被激励使用该品牌。图 10 是威胁行为者冒充斯基普顿建筑协会人员发送的真实企业邮箱的示例。请注意威胁行为者如何利用企业邮箱命名约定和附件的正文来模仿 Mimecast 的安全企业邮箱。然而,企业邮箱不合法的明显迹象之一是使用 Gmail 帐户,因为斯基普顿建筑协会不使用 Gmail 发送安全企业邮箱,而不良行为者通常使用免费企业邮箱提供商发送企业邮箱活动。
图 9:一封欺骗 Mimecast 的企业邮箱,其附件也是欺骗 Mimecast。
图 10:Mimecast 欺骗 HTM 附件。
维特鲁
Virtru 是一家网络安全公司,专门通过端到端加密和访问控制来保护数据,使个人和组织能够保护企业邮箱内容和附件的安全,以便只有授权的收件人才能访问。由于 Virtru 在保护敏感通信方面享有盛誉,恶意行为者被迫模仿 Virtru。 Virtru 欺骗允许攻击者利用用户对其加密和安全性的信任,从而增加收件人陷入网络钓鱼或其他诈骗的机会。
图 11 显示了欺骗性 Virtru 加密企业邮箱的示例,其中威胁行为者准确地模仿了企业邮箱正文并使用了令人信服的主题行。该企业邮箱包含一个指向 Google 文档的嵌入链接,其内容与该企业邮箱相同(参见图 12)。图 13 显示了凭据网络钓鱼页面,其设计类似于 Virtru 的登录页面,以捕获收件人的登录信息。通过模仿 Virtru 的登录页面,攻击者增加了收件人输入其凭据的可能性,认为他们位于官方的安全网站上。
图 11:带有嵌入式 Virtru 欺骗链接的示例企业邮箱。
图 12:指向 Google Doc 网站的嵌入链接,该网站还链接到伪造的 Virtru 凭据网络钓鱼页面。
图 12 显示了链接到欺骗性 Virtru 加密企业邮箱的嵌入式 Google 文档。该文档复制企业邮箱的内容以强化欺骗,并引导收件人进入图 13 所示的凭据网络钓鱼页面。
图 13:欺骗 Virtru 的凭证网络钓鱼页面。
图 13 展示了使用 Virtru 品牌徽标复制其登录页面的凭证网络钓鱼页面。恶意行为者使用此页面诱骗收件人输入其登录信息,然后收集这些信息以用于恶意目的。
