王英哲

由于當前的疫情環(huán)境，網(wǎng)絡(luò)犯罪迅速過渡到遠程辦公，再加上網(wǎng)絡(luò)犯罪分子利用恐懼、不確定性以及懷疑的傾向，安全研究人員觀察到網(wǎng)絡(luò)安全問題激增。網(wǎng)絡(luò)罪犯分子很快就會利用新的手段和設(shè)備，接入新手遠程工作者、易受攻擊的家用計算機和網(wǎng)絡(luò)以及過度勞累的IT團隊。

許多人甚至暫時放棄了以網(wǎng)絡(luò)為中心的傳統(tǒng)攻擊，針對能使他們獲得寶貴數(shù)據(jù)和資源的新型安全漏洞展開研究。例如，僅在2020年4月，美國聯(lián)邦調(diào)查局每天就收到3 000～ 4 000例來自美國企業(yè)和用戶的與網(wǎng)絡(luò)安全相關(guān)的投訴，與此前平均每天1 000例的投訴相比，大幅上升。

當然，安全研究人員知道，重大的社交事件通常是引發(fā)新威脅的催化劑。無論是疫情、世界杯還是其他重大事件，總是會有壞人在危險時刻利用這個契機。

過去的幾個月中，F(xiàn)ortiGuard實驗室一直在積極跟蹤與疫情相關(guān)的全球威脅問題和攻擊活動，包括信息竊取者、特洛伊木馬、勒索軟件以及社會工程誘餌等。以下是最新趨勢：

電子郵件攻擊的最大高峰是2020年4月2日，共進行了330次單獨的COVID-19電子郵件活動；

4月觀察到了許多的惡意電子郵件活動，總共發(fā)生了4 250多個與COVID-19相關(guān)的事件；

大多數(shù)電子郵件都是附有惡意的.DOCX和.PDF文件，勒索軟件是最普遍的附件。

有趣的是，自2020年4月以來，這些攻擊的數(shù)量一直在穩(wěn)定下降，其中5月發(fā)送了3 590個電子郵件活動，6月發(fā)送了2 841個電子郵件活動。

在過去的幾個月中，觀察到的3個主要不良行為是利用情感進行網(wǎng)絡(luò)欺詐、魚叉式網(wǎng)絡(luò)釣魚的興起以及遠程工作所增加的風險。

利用情感謀取經(jīng)濟利益

從社會工程學的角度來看，網(wǎng)絡(luò)犯罪分子正在最大限度地利用這次疫情的恐慌心理，尤其是醫(yī)療設(shè)備和醫(yī)藥用品的短缺。我們的安全研究人員已經(jīng)看到針對醫(yī)院、醫(yī)療設(shè)備制造商和健康保險公司的活動。

美國疾病控制中心和世界衛(wèi)生組織在4月報告說，惡意行為者正通過冒充該組織的工作人員進行電話和電子郵件等的欺詐活動。要么是募集捐款，要么是假裝出售基本醫(yī)療用品；在網(wǎng)絡(luò)釣魚電子郵件中包含從未訂購過的用品發(fā)票，或聲稱提供了重要的醫(yī)療信息。當然，這些電子郵件都包含受感染的文檔或指向受感染網(wǎng)站的鏈接。

魚叉式網(wǎng)絡(luò)釣魚攻擊也在增加

除了普遍的攻擊手段外，特別是在醫(yī)療供應(yīng)短缺的情況下，針對性較強的攻擊活動也在增加。最近觀察到的一項惡意魚叉式網(wǎng)絡(luò)釣魚活動是針對醫(yī)療設(shè)備供應(yīng)商的。在這種攻擊中，該攻擊者沒有提供出售的物品，而是詢問了解決疫情需要量大的各種材料。為了營造一種更強烈的緊迫感，該郵件中包含一個令人信服的聲明，即發(fā)件人已經(jīng)嘗試通過電話與收件人聯(lián)系。

在這種情況下，該電子郵件包含多個拼寫錯誤，例如，主題行“有關(guān)醫(yī)療信息的查詢—[公司名稱]”，它還包含一個附件，聲稱包含查詢的詳細信息，并且該拼寫也是錯誤的。拼寫錯誤和語法不佳通常是騙局的典型標志，這種情況下的目的顯然是要中斷救治所需醫(yī)療用品的供應(yīng)鏈。

遠程工作引入了新的攻擊媒介

網(wǎng)絡(luò)罪犯深知快速過渡時期會給組織造成嚴重破壞。為了確保業(yè)務(wù)連續(xù)性，諸如安全協(xié)議之類的東西可能會被忽略或擱置。與往常一樣，網(wǎng)絡(luò)犯罪分子正在尋找任何機會利用無意中出現(xiàn)的安全漏洞。

在疫情這種情況下，突然發(fā)現(xiàn)自己處于封鎖狀態(tài)，那么前所未有未受保護的用戶和設(shè)備會突然同時在線。在任何一個家庭中，很可能有2個或2個以上的人通過他們的家庭互聯(lián)網(wǎng)進行遠程工作。也可能有一個或多個孩子參加學校的在線課程，更不用說參加在線游戲社區(qū)或其他社交活動了。

另一個復雜因素是，并不是每個組織都能為現(xiàn)在需要遠程工作的每個員工購買用于工作的筆記本電腦。因此，許多遠程工作人員被迫使用他們的個人設(shè)備連接到公司網(wǎng)絡(luò)，而這些個人設(shè)備較大概率沒有公司購買的同類設(shè)備那樣安全。之所以如此危險，是因為這些個人設(shè)備甚至無需直接受到攻擊即可被破壞。他們還連接到不安全的家庭網(wǎng)絡(luò)，使攻擊者可以利用其他攻擊媒介，包括利用連接到家庭網(wǎng)絡(luò)的易受攻擊的物聯(lián)網(wǎng)設(shè)備或游戲機。他們的目標是找到一種方法，以回到企業(yè)網(wǎng)絡(luò)及其寶貴的數(shù)字資源中，從而竊取數(shù)據(jù)，并將惡意軟件傳播給其他遠程工作者。這尤其具有破壞性，因為遠程工作人員沒有機會請求公司專業(yè)人員幫助他們恢復受攻擊的計算機系統(tǒng)。如果無法通過電話對問題進行故障排除，則需要將其郵寄，這可能會使員工離線數(shù)天。

解決方案

作為一名與網(wǎng)絡(luò)安全相關(guān)的專業(yè)人士，您了解網(wǎng)絡(luò)安全的重要性。但重要的是，在當前日益嚴峻的威脅形勢下，我們不能放松警惕。以下是組織中需要加強的3個方面。

加強網(wǎng)絡(luò)安全：建議持續(xù)不斷更新所有IPS和AV定義。每當供應(yīng)商更新時，就應(yīng)保持主動修補程序。如果修補設(shè)備不可行，建議進行風險評估，以確定其他緩解措施。

更新關(guān)鍵安全技術(shù)：最有效的安全策略是將風險排除在系統(tǒng)之外。確保安全的電子郵件網(wǎng)關(guān)和Web應(yīng)用程序防火墻，配備沙盒和內(nèi)容解除防護與恢復技術(shù)，以識別和阻止特定類型文件，包括網(wǎng)絡(luò)釣魚攻擊，并在威脅到達用戶之前解除其防護。并確保端點設(shè)備具有最新的端點檢測和響應(yīng)軟件，以防止執(zhí)行主動威脅。

用戶培訓：進行持續(xù)的員工培訓課程，以告知他們最新的網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚攻擊，并提醒他們不要打開陌生人的附件。用戶還需要接受培訓以發(fā)現(xiàn)社會工程學攻擊，并使用即興發(fā)送的安全電子郵件通過安全測試小組秘密發(fā)送的測試電子郵件進行評估。

始終如一地實施基本安全原則可以幫助擊敗最狡猾的攻擊媒介，令人驚訝的是，很少有組織能夠一以貫之地做到這些事情。但是，通過對上述3個方面的執(zhí)行，您的組織將會更好地抵御企圖利用疫情環(huán)境的攻擊者。