數學符號繞過反釣魚檢測

作為一種古老的網絡攻擊手段，釣魚郵件是企業和個人最常遇見的網絡威脅之一。和零日漏洞、APT攻擊等高危險的攻擊方法相比，釣魚郵件就顯得非常“老套”。

但是，“老套”并不意味著無效。相反，隨著網絡空間的不斷發展、壯大，這種“老套的”攻擊手段給每年都給企業帶來了難以言表的巨額損失。

2021年Q2 Coremail郵件安全報告的數據顯示，和2021年Q1相比，Q2郵件安全問題依舊層出不窮，釣魚郵件季環比增長21.27%，同比增長甚至呈現翻倍上升趨勢。

另一份報告指出，美國大型企業平均每年因與網絡釣魚相關的網絡犯罪而損失1480萬美元，遠高于2015年的380萬美元，過去六年來，美國大型企業的網絡釣魚平均成本飆升了289%，年均損失近1500萬美元。

同時，網絡釣魚憑據也是勒索軟件和商業電子郵件入侵 (BEC) 的常見起點。該報告稱，勒索軟件每年給大型企業造成570萬美元的損失，而BEC則為600萬美元。網絡釣魚造成的損失被比勒索軟件和BEC損失的總和還多。

釣魚郵件之猖獗可見一斑。

用數字符號規避釣魚檢測

面對日益頻發的釣魚郵件攻擊，不少企業開始部署各種反釣魚郵件的工具和解決方案，而攻擊者們則是想盡辦法來規避這些反釣魚郵件檢測。

據Security affairs消息，近日某釣魚郵件組織突發奇想，使用數字符號來干擾反釣魚郵件檢測，竟然還取得了不俗的效果。

電子郵件防護產商INKY的安全研究人員詳細地介紹了這種“新型”的釣魚郵件攻擊，它的核心是利用各種數字符號替換公司logo或名字中的字母，達到“欺騙”反釣魚郵件或反垃圾郵件產品的目標。

美國電信巨頭Verizon成了這種新型攻擊的首個目標，自2021年11日開始，不少用戶收到了“修改密碼”的釣魚郵件。不久之后，不少用戶的賬號被盜，有的甚至還被盜刷了信用卡，丟失了數千美金，但Verizon表示公司系統并為遭到破壞。

安全人員對此次釣魚郵件攻擊事件復盤之后發現，釣魚郵件并未使用多少新的技術，而是對郵件進行了高超的“偽裝”。

一個紅色的平方根字符，NOR邏輯操作符或者說是漢字符號中的勾（√），這些簡單的數學符號創造了一種邏輯干擾，竟然就這么騙過了反垃圾郵件檢測的“眼睛”，于是這些郵件成功發給了用戶。

之所以這波操作如此有效，是因為Verizon公司的logo使用的就是一個紅色、不對稱的“V”，這和平方根符號或者說“勾”相似度非常高，如下圖所示。

（不仔細看根本分辨不出來有木有）

因此，很多用戶收到了郵件后，完全沒有發現這是一封假的郵件。

但該釣魚郵件的偽裝還遠不止這些，他們還創建了一個相似度非常高的假Verizon公司的網頁。攻擊者們在郵件中使用了一個簡單的數字字符，用戶只要點擊之后就會定向鏈接到這個假網站。

這個假的惡意網站和真網站有多相似呢？根據INKY的安全研究人員的說法，他們幾乎是完全克隆了Verizon公司的官網，使用了幾乎相同的設計元素。

這就騙過了很多的用戶，他們在登錄頁面填寫了自己的Office 365的賬號密碼進行登錄，而這些信息全部都落入到攻擊者的手中。

有趣的是，用戶在第一次登錄的時候會顯示“登錄錯誤”，并要求再次輸入賬號密碼，最終顯示的頁面是“無法登錄”。

兩次輸入就意味著兩次信息收集，但INKY安全研究人員也無法理解這波操作的真正原因。他們猜測攻擊者是想確認賬號密碼的真實性，或者是引導用戶輸入其他的賬號密碼，這樣他們可以收集兩套登錄憑證，賣兩份價錢。

INKY安全研究人員進一步研究發現，釣魚郵件攻擊者是直接使用Gmail賬戶發送釣魚信息。之所以如此明目張膽，是因為它們可以通過標準的電子郵件身份驗證(SPF、DKIM和DMARC)。而那個等待用戶的假的惡意網站中，存在著最新的零日漏洞，足以給用戶造成嚴重損失。

事實上，這已經不是Verizon公司2021年度第一次遭遇釣魚郵件攻擊。

2021年4月，Verizon公司移動端用戶遭釣魚攻擊，并欺騙用戶竊取電話號碼、ID、密碼等私人數據信息，并且在2019年2和3月也遭受了兩次釣魚郵件攻擊。

頻繁出現的釣魚攻擊不僅給用戶帶來了一定的損失，也給Verizon公司聲譽和業務造成了一定的損傷。

另外值得注意的是，前三次釣魚郵件攻擊還略顯粗糙，最近一次的釣魚郵件則出現明顯的“定制化”趨勢。攻擊者用更加巧妙的手段，瞞過了企業反釣魚郵件的檢測，也瞞過了很多粗心的用戶。

如何有效預防釣魚郵件？

眾所周知，釣魚郵件的核心就在于一個“偽”字，而只要是假冒的就一定會存在各種蛛絲馬跡，我們可以通過這些蛛絲馬跡來分別是不是釣魚郵件，避免掉入攻擊者們的陷進之中。

以下是安全專家們提供的預防釣魚郵件的建議：

1、對于來自Gmail或其他免費電子郵件提供商（如雅虎、AOL或Hotmail）保持警惕，仔細核對發件人和郵件的真實性。

2、確保在下載任何附件之前進行檢查，尤其是未經請求的電子郵件。更好的做法是，仔細檢查發件人的電子郵件地址并留意高風險附件文件。不輕易下載附件，也不輕易點擊陌生鏈接。

3、切勿通過電子郵件提供敏感信息，如果一封電子郵件要求收件人提供信用卡詳細信息、稅號、社會保障信息或任何其他敏感詳細信息，那基本是釣魚郵件。

4、安裝反釣魚郵件工具，目前很多殺毒軟件和瀏覽器都包含了反釣魚郵件工具，這可以幫我們攔截大多數釣魚郵件，并且會有相應的提醒。

5、重要文件做好防護，很多時候釣魚郵件只是勒索攻擊的開端，及時對重要郵件備份，防止勒索攻擊鎖住文件造成巨額損失。