安全厂商Imperva的新研究发现,相比传统网络钓鱼攻击,预制式网络钓鱼活动运营成本更少,利润却近乎2倍。
通过购买受感染服务器和所有其他网络钓鱼攻击活动必备组件构成的完整包,网络罪犯在削减成本的同时提升了钓鱼邮件的有效性。这些所谓的“网络钓鱼即服务(PhaaS)”包,比从无到有地拼凑出一次电子邮件攻击活动要便宜得多。
首先,这种模式法正驱动网络钓鱼攻击的全面开花。网络钓鱼是大多数网络和数据泄露的起点。Imperva的研究从仔细查阅暗网市场上架货品列表开始。这让他们得以估算网络钓鱼行动的成本,形成这一太过常见的诈骗行为背后商业模式的更清晰视图。
网络钓鱼行动需要用到钓鱼页面、垃圾邮件服务器、包含10个地址的邮箱列表和对被黑服务器的访问权。据Imperva估算,一次非托管网络钓鱼诈骗行动的总体开销大约在$27.65(约合人民币191元)左右。
另外,黑客可以轻易劫持被黑Web服务器为其所用,进一步降低前端成本。根据研究人员对PhaaS的分析,相比传统劳动密集型非托管网络钓鱼,PhaaS在成本上降低了3/4,利润却翻了一倍。降低网络钓鱼相关开销和技术门槛,无疑会导致网络钓鱼攻击活动的增加,沦为此类网络犯罪活动受害者的人数也将上升。
PhaaS活动购买的简易性及其低成本,极有可能让依赖诱骗受害者交出敏感站点登录凭证的诈骗行为变得更为常见。被黑Web服务器与PhaaS的结合,大幅降低了进行成功网络钓鱼活动的资金、技术和时间投入门槛。企业采用终端软件客户端方法对抗网络钓鱼已不再可行,因为人们总会点击邮件中的恶意链接。减缓此类攻击的方法之一,就是阻断对被黑服务器的轻易访问,让网络钓鱼商业模式成本更高、利润更薄。
Imperva的研究人员解构了2016年6月中旬发起的一次网络钓鱼活动,发现人们在工作场所比在家中更容易咬上钓鱼邮件的钩。约1/3(35%)的成功网络钓鱼攻击发生在09:00~12:00时段,也就是受害者正忙于撰写和回复各种邮件的时段。研究人员还发现,相比点击邮件中的URL填写登录凭证到Web表单中,受害者更倾向于输入用户名和口令来打开邮件附件(本案例中是 Adobe PDF 文件)。
Imperva解构的这次网络钓鱼活动可被关联到印度尼西亚的一个黑客团伙,该团伙的“事业”起始于一系列针对美国、澳大利亚和印度尼西亚目标的Web破坏攻击。2015年底,该团伙升级到了赚钱黑客模式,对使用Magento电子商务系统的网上商店进行攻击。
该团伙收获的受害凭证中,2/3(68%)都没出现在之前的已知公开数据泄露中(1/3在之前已泄露)。