Check Point:攻击者通过合法email服务窃取用户凭证信息

近日, Check Point® 软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59% 的报告攻击与之相关。它还在

近日, Check Point® 软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59% 的报告攻击与之相关。它还在商业电子邮件入侵 (BEC) 攻击中发挥了重要作用,造成了 15% 的攻击。同时,在2023年一份针对我国电子邮件安全的第三方报告显示,与证书/凭据钓鱼相关的不法活动仍居电子邮件攻击活动之首。而我国在2022年内受钓鱼邮件攻击的总量仅次于美国,位居全球第二名。种种迹象均已表明,钓鱼邮件这一“简单粗暴”的方式仍然受到不法分子的“青睐”。

为窃取和收集用户凭证,网络钓鱼电子邮件中会随附一个恶意 URL 或附件。Check Point 的遥测数据显示,超过一半的恶意附件是 HTML 文件。为了诱骗用户,其中许多附件伪装成了已知服务和厂商(如微软、Webmail 等)的登录页面。

图 1:按文件类型划分的恶意附件。资料来源:Check Point Research

用户在伪造登录表单中输入自己的凭证并点击提交,然后凭证通常通过 Web 服务器或 Telegram 的 API 发送给攻击者。在过去的几个月里,CPR 观察到持续不断的攻击活动涉及数千封电子邮件,这些电子邮件利用 EmailJS、Formbold、Formspree 和 Formspark 等合法服务来获取被盗凭证。上述服务都是在线表单构建器,允许用户为自己的网站或 Web 应用创建自定义表单,并得到了开发人员的广泛使用。它们不仅为构建可嵌入到网站或应用的表单提供了用户友好型界面,而且还可提供各种表单字段类型,例如文本输入字段、单选框、复选框、下拉菜单等,以便用户以结构化的方式收集用户信息。用户提交表单后,此类服务将处理表单数据并收集被盗凭证。

图 2:凭证收集流程

凭证收集

凭证收集是一种网络攻击,其中攻击者窃取用户名和密码等敏感信息,以获取用户对合法网络服务的初始访问权限或在网上贩卖。通常,这些攻击并非针对某一特定机构,而是试图收集尽可能多的不同用户名和密码来在网上dou shou。

图 3:暗网论坛出售被盗凭证。

合法邮件服务之殇

过去,攻击者主要使用两种方法来收集凭证。第一种方法是使用托管在受攻击站点上的 PHP 文件。然而,在这种方法中,攻击者面临着站点被网络安全解决方案拦截的可能性。第二种方法是使用 Telegram 的 API,但这种方法被安全厂商所熟知,因此被拦截的几率更高。现在,使用合法表单服务 API 的新方法被许多开发人员所使用,这就加大了拦截恶意 HTML 文件的难度。借助该 API,凭证可被发送到攻击者选择的任何位置,甚至能够发送到他自己的邮箱。

以EmailJS 为例,EmailJS 是一项允许开发人员只使用客户端技术(而无需任何服务器代码)发送电子邮件的服务。若要使用该服务,用户只需:

1、将电子邮件地址连接到该服务;

2、创建一个电子邮件模板,以确定电子邮件发送方式以及电子邮件接收地址;

3、使用 EmailJS SDK 或 API,以利用 JavaScript 发送电子邮件。

该服务每月可免费发送最多 200 封电子邮件,而通过订阅,每月可发送多达 100,000 封电子邮件。该服务是合法的,根据其官网数据,有超过 25,000 名开发人员正在使用这项服务。

图 4:EmailJS 官网

以下两个示例说明了攻击者正如何使用该服务来收集被盗凭证——

图 5:使用 EmailJS 的网络钓鱼页面

在图 5 中,攻击者首先利用其公钥使用“emailJS.init”,然后使用函数“sendEmail”(当用户提交表单时被触发)和“emailjs.send”通过电子邮件将数据传输到他的电子邮件帐户。

图 6:另一个从 HTML 文件中使用 EmailJS 的示例

在图 6 中,攻击者直接使用 EmailJS API 将受害者的凭证发送给自己。上述示例均来自于我们观察到的一起攻击活动。此外,Check Point还发现该攻击活动使用了两个不同的 EmailJS 公共 API 密钥。

一起真实的钓鱼攻击

CPR近日检测到一起始于一封钓鱼电子邮件的持续攻击活动,这场攻击活动用到了该电子邮件的多个版本和几个不同的 HTML 模板。

图 7:攻击活动中使用的网络钓鱼电子邮件的示例

所附文件与受害者收到的电子邮件相对应,Check Point已发现了该电子邮件的多个版本。

图 8:HTML 附件伪装成文件和网页邮件登录页面

为了让登录页面看似没问题,攻击者在表单(在 HTML 文件中进行了硬编码)中填写了受害者的电子邮件地址。一旦受害者输入其凭证并尝试登录,用户名和密码就会被直接发送到攻击者的电子邮件收件箱。

图 9:使用 EmailJS 的凭证收集流程

图 10:使用 Formspark 的 HTML 附件的示例

预防为先刻不容缓

通过合法手段进行不发活动无疑使安全形势变得更加复杂。同时,今年四月Check Point揭示了如何通过ChatGPT进行钓鱼软件编写,这也意味着不法行为的实施成本也在日趋降低。因此,时刻保持Check Point公司倡导的“预防为先”的安全理念,才是打造互联网安全环境的第一步重要措施。

Check Point Threat Emulation 客户端能够防御此类攻击。考虑到逃逸型零日攻击和网络钓鱼攻击的速度和复杂性,采用 AI 深度学习 来预测和阻止恶意行为、且无需人工干预的解决方案将逐渐成为邮件安全防御的主流。

在 Miercom 基准测试报告中,Check Point 取得了网络钓鱼防御率高达 99.9% 的骄人成绩,实现了 99.7% 的恶意软件防御率,而且在网络钓鱼、恶意软件及零日网络钓鱼 URL 方面的漏检率几乎为 0%。因此,Check Point有信心帮助用户在恶意邮件攻击日趋严峻的形势下,依然可以享有最高级别的安全防护,确保核心数字资产无虞。

标签: 网络安全