由于当前的疫情环境,网络犯罪迅速过度到远程办公,再加上网络犯罪分子利用恐惧,不确定性和怀疑的倾向,安全研究人员观察到了网络安全问题激增。网络罪犯分子很快就会利用新的手段和设备,接入新手远程工作者、易受攻击的家用计算机和网络,以及过度劳累的IT团队。
许多人甚至暂时放弃了以网络为中心的传统攻击,并针对能使他们获得宝贵数据和资源的新型安全漏洞展开研究。例如,仅在4月份,美国联邦调查局每天就收到3,000-4,000例来自美国企业和用户的网络安全相关投诉,与平均每天1000例的投诉相比,大幅上升。
![]()
当然,安全研究人员知道,重大的社交事件通常是引发新威胁的催化剂。无论是疫情,世界杯还是其他重大事件,总是会有坏人在危险时刻利用这个契机。
在过去的几个月中,FortiGuard实验室一直在积极跟踪与疫情相关的全球威胁问题和攻击活动,包括信息窃取者,特洛伊木马,勒索软件以及社会工程诱饵的有效性。这揭示了以下最新趋势:
- 电子邮件攻击的最大高峰是4月2日,共进行了330次单独的COVID-19电子邮件活动。
- 4月也观察到了许多的恶意电子邮件活动,总共发生了4,250多个与COVID-19相关的事件。
- 大多数电子邮件都附有恶意的.DOCX和.PDF文件(.DOCX是最高的),勒索软件是最普遍的附件。
- 有趣的是,自4月以来,这些攻击的数量一直在稳定下降,其中5月发送了3,590个电子邮件活动,6月发送了2,841个电子邮件活动。
在过去的几个月中,观察到的三个主要的不良行为是利用情感进行网络欺诈,鱼叉式网络钓鱼的兴起以及远程工作所增加的风险。
利用情感谋取经济利益
从社会工程学的角度来看,网络犯罪分子正在最大限度地利用这次疫情的恐慌心理,尤其是医疗设备和医药用品的短缺。我们的安全研究人员已经看到针对医院,医疗设备制造商和健康保险公司的活动。
美国疾病控制中心(CDC)和世界卫生组织(WHO)都在4月报告说,恶意行为者正通过冒充是该组织的工作人员进行电话和电子邮件等的欺诈活动。要么是募集捐款,要么是假装出售基本医疗用品。网络钓鱼电子邮件中包含从未订购过的用品发票,或声称提供了重要的医疗信息。当然,这些电子邮件包含受感染的文档或指向受感染网站的链接。
鱼叉式网络钓鱼攻击也在增加
除了普遍的攻击手段外,我们还看到了特别是在医疗供应短缺的情况下,针对性较强的攻击活动也在增加。我们最近观察到的一项恶意鱼叉式网络钓鱼活动是针对医疗设备供应商的。在这种攻击中,该攻击者没有提供出售的物品,而是询问了由于需求量大而需要解决COVID-19疫情的各种材料。为了营造一种更强烈的紧迫感,该邮件中包含一个令人信服的声明,即发件人已经尝试通过电话与收件人联系。
在这种情况下,该电子邮件包含多个拼写错误,例如,主题行“有关医疗信息的查询– [公司名称]”。它还包含一个附件,声称包含查询的详细信息,并且该拼写也是错误的。拼写错误和语法不佳通常是骗局的典型标志。这种情况下的目的显然是要中断救治所需的医疗用品的供应链。
远程工作引入了新的攻击媒介
网络罪犯深知快速过渡的时期会给组织造成严重破坏。为了确保业务连续性,诸如安全协议之类的东西可能会被忽略或搁置。与往常一样,网络犯罪分子正在寻找任何机会利用无意中出现的安全漏洞。
在疫情的这种情况下,突然发现自己处于封锁状态,那么前所未有的未受保护的用户和设备会突然同时在线。在任何一个家庭中,很可能有两个或两个以上的人通过他们的家庭互联网连接进行远程工作。也可能有一个或多个孩子参加学校的在线课程,更不用说参加在线游戏社区或其他社交活动了。
另一个复杂因素是,并不是每个组织都能为现在需要远程工作的每个员工购买用于工作的笔记本电脑。因此,许多远程工作人员被迫使用他们的个人设备连接到公司网络,而这些个人设备较大概率没有公司购买的同类设备那样安全。
之所以如此危险,是因为这些个人设备甚至无需直接受到攻击即可被破坏。它们还连接到不安全的家庭网络,这使攻击者可以利用其他攻击媒介,包括利用连接到家庭网络的易受攻击的物联网设备或游戏机。然后,他们的目标是找到一种方法,以回到企业网络及其宝贵的数字资源中,从而可以窃取数据,并将恶意软件传播给其他远程工作者。这尤其具有破坏性,因为远程工作人员没有机会请求公司专业人员帮助他们恢复受攻击的计算机系统。如果无法通过电话对问题进行故障排除来解决设备问题,则需要将其邮寄,使员工离线数天。
解决方案
作为一名与网络安全相关的专业人士,您了解网络安全的重要性。但是,至关重要的是,在当前日益严峻的威胁形势下,我们不能放松警惕。以下是您组织中需要加强的三个方面:
- 加强网络安全卫生:建议持续不断更新所有IPS和AV定义。每当供应商更新时,就应保持主动修补程序。如果修补设备不可行,我们建议进行风险评估,以确定其他缓解措施。
- 更新关键安全技术:最有效的安全策略是将风险排除在系统之外。确保安全的电子邮件网关和Web应用程序防火墙配备沙盒和内容解除防护和恢复(CDR)技术,以识别和阻止特定类型文件,包括网络钓鱼攻击,并在威胁到达用户之前解除其防护。并确保端点设备具有最新的端点检测和响应(EDR)软件,以防止执行主动威胁。
- 用户培训:进行持续的员工培训课程,以告知他们最新的网络钓鱼/鱼叉式网络钓鱼攻击,并提醒他们不要打开陌生人的附件。用户还需要接受培训以发现社会工程学攻击,并使用即兴发送的安全电子邮件通过安全测试小组秘密发送的测试电子邮件进行评估。
令人惊讶的是,始终如一地实施的基本安全原则可以帮助击败最狡猾的攻击媒介。同样令人惊讶的是,很少有组织能够一以贯之的做到这些事情。但是,通过致力于对上述三个方面的执行,您的组织将更好地做准备抵御企图利用疫情环境影响下的攻击者。
【责任编辑:
赵宁宁 TEL:(010)68476606】
