2020 年 网络钓鱼和 欺诈报告 新冠疫情期间的 网络钓鱼 作者： David Warburton，F5 Labs 贡献者： Paul Dockter，F5 安全运营中心 Avihai Sitbon，F5 恶意软件研究员 Carlos Asuncion，Shape Security 编辑： Debbie Walkowski 数据合作伙伴：F5 SIRT Webroot，一家 OpenText 公司 目录 要点综述 2 简介 4 网络钓鱼攻击步骤 10 网络钓鱼行业 11 现代网络钓鱼行为 18 网络钓鱼的未来 32 打击网络钓鱼 36 结语 39 我们的方法 40 词汇表 41 尾注 43 2020 年网络钓鱼和欺诈报告 1 要点综述 网络钓鱼仍然是窃取凭证、实施诈骗和分发恶意软件的一种常用方法。但是，表面看似由青少年 实施的网络犯罪实际上可能是有组织犯罪团伙精心策划的持续性多面攻击活动。从寻找受害者和 创建网络钓鱼站点，到收集和使用受害者的凭证行骗，欺诈者的这一端到端流程很难予以全面介 绍。因此，我们将报告重点放在了欺诈者如何构建和托管网络钓鱼站点以及他们采用何种策略来 保持隐匿状态。借助来自 Shape Security 的洞察，我们还揭示了网络犯罪分子利用窃取之物的速 度之快。 我们将报告重点放在了欺诈者如何构建和托管网络钓鱼 站点以及他们采用何种策略来保持隐匿状态 今年的网络钓鱼和欺诈报告回顾了 F5 安全运营中心（SOC）五年来观察到的网络钓鱼事件，对 OpenText 的 Webroot® BrightCloud® 威胁情报提供的经过确认的活跃网络钓鱼站点进行了深入研 究，并对来自 Vigilante 的暗网市场数据展开了详细分析。所有这一切可帮助您对网络钓鱼世界有 一个全面的了解和认识。 在我们的《2019 年网络钓鱼和欺诈报告》中，我们注意到了对免费和自动化服务（例如博客平台 和免费数字证书服务）的严重滥用现象。欺诈者能够以较低的成本（或者干脆零成本），大量使 用自动化服务。我们还注意到了加密技术在欺诈活动中的盛行，超过一半的站点使用 HTTPS； 同时，我们还注意到攻击者正通过创建冗长的欺骗性网址（URL），使其看似真实可信，迷惑受 害者。 2020 年网络钓鱼和欺诈报告 2 在过去十二个月里，攻击者的手段虽称不上革新，但也日益精进，2020 年网络钓鱼事件的数量 15% 2020 年网络钓鱼事件 增加 15% 将比去年增加 15%。今年，我们发现在全球疫情恐慌高峰期间，网络钓鱼事件数量比年均水平高 出 220% 之多。疫情期间，欺诈者趁混乱之际兴风作浪，网络钓鱼活动激增，当然这也与各种封 锁规定的实施和家庭办公的增加密切相关。通过证书透明度日志，我们发现在高峰期，近 15,000 个活跃证书在名称中使用了“covid”或“冠状病毒”字眼。就加密而言，HTTPS 在所有网络钓 鱼站点中的使用量也急剧上升，多达 72% 的网络钓鱼站点使用数字证书和 TLS 加密。今年 5 月 和 6 月被盗支付卡的急剧增加，在某种程度上很可能就是由于封锁实施之初网络钓鱼活动的激增 造成的。在暗网市场上发现的来自七家大型跨国银行的支付卡数量差不多是 2019 年类似高峰期 间的两倍。 我们发现在全球疫情恐慌高峰期间，网络钓鱼事件数量 比年均水平高出 220% 之多 欺诈者在确定网络钓鱼站点的名称和地址方面变得更具创意。他们会尝试创建看似更真实的网站 地址，我们发现 55% 的网络钓鱼站点在其 URL 中使用目标品牌名称和身份。我们对网络犯罪分 子从盗窃凭证到使用窃取的凭证发起主动攻击的过程进行了追踪，发现犯罪分子通常都会在四个 小时内使用窃取的凭证。在某些情况下，会实时发起攻击。 易受攻击的网站继续为欺诈者将网络钓鱼页面免费托管在信誉良好的 URL 上提供可乘之机。我们 发现，仅 WordPress 网站就占了常用网络钓鱼 URL 的 20%。 今年，我们还发现 Office 365 仍是对攻击者极具吸引力的攻击目标，而且欺诈者采取了“同意网 络钓鱼”等新策略。与此同时，越来越多的网络钓鱼站点正在使用规避技术，以逃过目标企业和 安全研究人员的检测和检查。 虽然网络钓鱼攻击持续增长，但安全控制和用户培训力度依然不足，无法充分应对。欺诈者深知， 快速牟利的方法并非耗费数月的时间来破坏组织的安全性，而只是窃取用户名和密码，从而直接 通过前门侵入。 2020 年网络钓鱼和欺诈报告 3 简介 网络钓鱼（以电子邮件为中心的社会工程攻击）没有丝毫减弱的迹象。它在有组织网络犯罪中同 在国家支持的网络攻击中一样受欢迎，原因很简单：它很好用。根据 F5 SOC 的数据，2020 年网 络钓鱼事件的数量预计将比去年增加 15%（请参见图 1）。F5 Labs 2020 年应用保护报告发现， 在美国所有攻击事件中，52% 是由于访问控制层的故障造成的。这些攻击活动包括凭证盗窃、暴 力破解登录尝试和网络钓鱼。在大西洋彼岸，根据英国信息专员办公室（ICO）公布的数据，在 2019 年 4 月至 2020 年 3 月报告期间，网络钓鱼是与网络相关的数据泄露的首要原因，占所有案 例的 28%。1 这一趋势将在世界范围内持续存在。根据来自澳大利亚信息专员办公室（OAIC）的 数据，网络钓鱼在恶意网络事件中位居首位，占所有上报案例的 36%。2 作为网络犯罪分子最常 见的初始攻击媒介之一，凭证窃取位居第二，占所有上报案例的 29%（2019 年 7 月至 2020 年 6 月）。 图 1. F5 安全运营中心处理的网络钓鱼事件 为了保护客户机密性，我们特别没有提及特定组织名称或泄露号码。 相反，我们对事件报告中的各项增幅进行了比较。 2015 2016 2017 2018 2019 2020 2020 年网络钓鱼和欺诈报告 4 现在网络钓鱼问题愈发突出，《2020 年 Verizon 数据泄露调查报告》（DBIR）指出，恶意软件和 木马的使用量已大幅减少，并且“攻击者变得越来越高效，更倾向于利用网络钓鱼和凭证盗窃等 攻击。”3 欧洲刑警组织最新互联网有组织犯罪威胁评估（IOCTA）报告指出，社会工程攻击和网 络钓鱼仍然是主要威胁，并且两者的数量和复杂性都显著增加。4 然而，尽管有组织的网络犯罪分 子在利用社会工程攻击、多媒介攻击和拦截 SMS 令牌方面正变得越来越熟练，但由于网络钓鱼攻 击易于执行，其使用量大幅增加。网络钓鱼工具包和网络钓鱼即服务，更不用说个人数据的易窃 取性，所有这些都意味着几乎任何人都可以在具备很少先验知识的情况下发起网络钓鱼攻击。考 虑到这一点，我们必须假设现在遭遇网络钓鱼攻击的风险比以往任何时候都要大。 由于网络钓鱼攻击易于执行，其使用量大幅增加 非现金支付欺诈（例如信用卡盗窃、侧录或网络钓鱼）通常用于实施大多数其他网络犯罪，例如 勒索、数据盗窃和恶意软件部署。长期以来，高级持续性威胁（APT）团伙一直在积极开展网络 间谍活动。通过电子邮件和社交媒体网络钓鱼活动向 APT 受害者制造社交工程骗局通常是攻击 链的第一步。2020 年 9 月，伊朗“迷人小猫”APT 发起了一项新攻击活动，通过结合使用通过 WhatsApp 实施的针对性鱼叉式网络钓鱼与虚假 LinkedIn 配置文件，骗取受害者的信任。他们的 目的是诱骗受害者下载恶意软件或收集受害者凭证。5 通过电子邮件和社交媒体网络钓鱼活动向 APT 受害者制 造社交工程骗局通常是攻击链的第一步 随着攻击者逐渐了解企业内部业务关系和流程，将目标瞄准具有访问权限并有权转账的工作人员 的商务电子邮件入侵（BEC），即鱼叉式网络钓鱼攻击，正在呈上升趋势。国际反网络钓鱼工作 组（APWG）2020 年第二季度报告显示，平均电汇尝试金额超过 80,000 美元，将目标瞄准公司 的攻击者平均牟利 127 万美元。6 尽管存在许多高级策略、技术和规程（TTP），但许多网络钓鱼攻击本质上还是很简单的，并且 由于用户的安全控制不力和缺乏了解，往往能大获成功。 2020 年网络钓鱼和欺诈报告 5 网络犯罪分子如何利用 2020 年新冠疫情 向来热衷于利用热门话题的网络犯罪分子迅速利用了 SARS-CoV-2（俗称冠状病毒或新冠病毒） 全球爆发带来的机遇。当数以百万计的人们迫切希望获得有关疫情的真相时，道德沦丧的网络犯 罪社区看到了可乘之机。网络钓鱼电子邮件在 3 月中旬左右以“您所在地区爆发新冠疫情？”以 及“来自世界卫生组织的消息”等主题开始进行狂轰滥炸。 网络钓鱼主题行示例 • 您所在地区爆发新冠疫情？请确认您的地址 • 点击此处了解新冠疫苗接种 • 点击此处领取新冠援助法案救济支票 • 假冒呼吸器、消毒剂、个人防护设备 • 新冠肺炎假治愈 • 来自世界卫生组织的消息 • 来自疾病控制和预防中心的消息 • 点击此处获取新冠病毒相关信息 • 向这些慈善组织进行捐赠 • 来自当地医院的消息 — 需要患者数据以进行新冠肺炎测试 • 新冠肺炎应对指南 • 2019 新冠病毒：您所在城市爆发新冠疫情（紧急） • 高风险：您所在城市的新确诊病例 • 冠状病毒（2019 新冠病毒）防护措施 2020 年网络钓鱼和欺诈报告 6 APWG 报告称，网络钓鱼电子邮件主要针对“工人、医疗机构和近期失业人员”。7 F5 Labs 观察 到许多与新冠疫情相关的网络钓鱼电子邮件，图 2 和 3 仅显示了其中的两个示例。 与新冠疫情相关的网络钓鱼电子邮件具有三大明显意图。欺诈者旨在： • 请求向虚假慈善机构进行捐赠 • 收集凭证 • 交付恶意软件 犯罪分子趁机仿造日益流行的 Web 会议应用（例如 Zoom、Skype 和 WebEx）的登录和下载页 面，以极其隐秘 的方式发起了许多攻击。欧洲刑警组织 IOCTA 2020 年报告总结道，“新冠疫情 期间，网络犯罪在本质上基本保持不变，只是犯罪分子变换了变花样。8 F5 Labs 先前发现的只是 简单地进行克隆但包含新冠病毒相关字眼的 Mirai 僵尸网络就很好地反映了这一点。 图 2. 利用对新冠疫情的恐惧来诱骗受害者 的网络钓鱼电子邮件 图 3. 附有恶意 PPT 演示文稿的与新冠疫情 相关的网络钓鱼电子邮件 2020 年网络钓鱼和欺诈报告 7 2019 年和 2020 年平均每季度上报给英国信息专员办公室的网络钓鱼事件多达 289 起，但根据就 2020 年 4 月至 6 月这几个月发布的新数据，上报数量急剧下降，仅 185 起确认案例。F5 SOC 观 察到了类似的趋势，具体而言，最