行业新闻与博客

新的 FireEye 报告显示最近基于 URL 的 HTTPS 网络钓鱼攻击激增

如果你是散列出的忠实读者，你知道，我们一直在冠冕堂皇的 HTTPS 钓鱼报警了，现在几年。最近，反网络钓鱼工作组发布了一项研究，发现 58％的网络钓鱼网站现在通过 HTTPS 提供服务。有些报道称该数字高达 90％。

 周二，FireEye 发布了其 2019年第一季度的网络钓鱼趋势报告，其中一项重要发现是 HTTPS 网络钓鱼正在不断发展。 

在 2018年，FireEye 报告说，基于 URL 的攻击已经取代基于附件的攻击作为交付手段。这种趋势在 2019年第一季度继续发展。基于 URL 的攻击更难以识别，因为它们需要更加动态的检测手段。

 所以，今天，我们将讨论基于 URL 的 HTTPS 网络钓鱼是什么，它正在增长的速度，我们将对如何到达这里提供哲学思考。

 免费 SSL 和 HTTPS 网络钓鱼的兴起 

原始 SSL 证书实际上是组织验证。至少部分思路是，既然我们正在努力教会用户 HTTPS 是安全的同义词，那么如果恶意攻击者可以轻易地在他们的网站上打一个证书并让它说“https：//”，那将会适得其反。

如果存在严重缺陷，这是一种有点高尚的方法。显然，HTTPS 不应该存在经济障碍。所有网站都应该加密他们的连接，由于浏览器，它基本上是一个标准。这种情况的缺点是当一些东西普遍可用时 - 当没有障碍时 - 坏人也可以得到它。

现在，我们处于一个十字路口，在这个十字路口，有关寻找协议和挂锁的旧谈话要点正在被网络钓鱼网站和犯罪分子利用。已经有很多东西可以让网站看起来令人信服，额外的小小的蓬勃发展真的让它有时带回家。

 现在，我们不会责怪免费的 SSL - 我们必须每次都做出免责声明 - 公共 CA 是一件好事。但就像所有好事一样，人们会找到利用的方法。

 HTTPS 网络钓鱼是所有这些网络中最恶毒的方式之一。

 什么是基于 URL 的 HTTPS 网络钓鱼？

 通常，当我们提到 HTTPS 网络钓鱼时，我们正在讨论用户到达的目标网页或水坑网站。很容易混淆，因为网络钓鱼通常被认为是“只是一个电子邮件的东西”，但实际上，电子邮件通常只是开场整理。有时它会要求您打开附件。其他时候它会带你到恶意网站。

 问题是网络钓鱼可以与教育作斗争。研究表明，随着时间的推移，网络钓鱼模拟会持续发生，并且频率足够高，员工在识别网络钓鱼电子邮件时可以显示出明显的改进。这些教育模拟的几个租户不会信任附件并避免跟踪可疑链接。 

因此，随着众所周知的猫与老鼠游戏的继续，犯罪分子正在不断发展。

 FireEye 识别出基于 URL 的攻击的两种不同变体 - 嗯，实际上一种是另一种的变体 - 但每种情况的前提基本相同：发送没有内容的电子邮件; 只有身体上可信的联系。 

现在，我意识到听起来非常愚蠢。如果它是从目标无法识别的随机电子邮件地址发出的话，它就无法自行运行。但是当与其他战术相结合时，它显然运作良好，FireEye 已经注意到 2019年前三个月增加了 26％。

 [总体而言] FireEye 在 2019年第一季度的网络钓鱼攻击比 2018年第四季度增加了 17％。在典型的攻击中，该电子邮件似乎来自一家知名的联系人和 / 或受信任的公司。

 实际上，基于 URL 的攻击现在是传递恶意负载的最普遍方法。 快速示例，通过一些社交工程，您可以将电子邮件中的“发件人：”字段更改为公司中的某个人。这是一封声称来自我们所有者的电子邮件：

你可以验证它来自的实际地址或检查电子邮件标题，但很多人不会这样做。

 你可以看到有人可以堕落。看起来它来自 Dan 的销售，他总是向你发送有趣的东西，然后点击它。

 所以，这是第一个变种，无内容的电子邮件。它实际上只是一个链接。 

这具有使垃圾邮件过滤器更难以检测的额外好处。电子邮件本身缺少内容并不足以让过滤器知道它是否是恶意的。显然，正如我们刚刚谈到的那样，它会对目标的好奇心和浮躁性产生影响。

 然后是无内容电子邮件的变体，即使链接不可点击。这样，过滤器检测更难，因为电子邮件中没有活动链接。在目标将其粘贴到浏览器的地址栏中之前，该链接无效。

 几乎看起来发送者在发送电子邮件之前忘了点击返回线。 

现在，这些电子邮件也在没有 HTTPS 组件的情况下发生。您无需拥有 SSL 证书即可完成此操作。但是，能够将 HTTPS 添加到该 URL 的开头会增加另一层可信度，正如我们已经讨论过的那样，有时这是最后一点推动它超过阈值的刷子。

我们如何处理 HTTPS 网络钓鱼？

 此时，将牙膏放回管中可能为时已晚。业内一些人正在采取行动。谷歌在整个 HTTPS 计划中一直处于领先地位，正在缩减其视觉指标。 理想情况下，它希望完全从地址栏中删除协议（https：//）和挂锁，只需给予 HTTPS 站点中立处理。

HTTP 站点已经收到负面指标。这个想法是 HTTPS 现在是现状。 业界正在努力解决的更大问题是如何处理更高验证的证书。从历史上看，OV 已经获得与 DV 相同的治疗。可能值得继续允许 OV 站点使用挂锁。当然，关于 EV 的争论永无止境。

在这一点上，它甚至都不值得重新散列，因为每个人似乎都对这个主题的信念如此根深蒂固。 可以说，至少我们不能继续给予 DV 网站积极的指标。从长远来看，我们完全彻底改革信托指标是明智之举。

非常感谢您对亚洲注册的支持与信任！

禁止转载