新冠肺炎名義的網絡攻擊更新: 提防網絡釣魚

新冠肺炎名義的網絡攻擊更新: 提防網絡釣魚

• 最新網絡釣魚活動冒充世界衛生組織和熱門會議平台竊取敏感訊息
• 在過去三週內，Check Point 平均每週發現 19.2 萬起與新冠肺炎相關的網絡攻擊，比前幾週增加了 30%
• 在過去三週內，新註冊的新冠肺炎相關域名接近 2 萬個，其中 17% 的域名為惡意或可疑域名

當所有人都竭力適應新冠疫情所帶來的工作和生活「新常態」之際，今年網絡犯罪分子迎來了前所未有的作惡機會。由於國際社會對新冠疫情的普遍關注以及我們急於了解疫情最新訊息的迫切心情，犯罪分子和黑客慣用的網絡釣魚電子郵件和假冒網站攻擊伎倆屢屢得逞。

國際刑警組織和歐洲刑警組織都警告稱與新冠肺炎相關的欺詐行為激增。4月中旬，Google報告稱，短短一週内，每日只通過 Gmail 發送的與新冠肺炎相關的惡意軟件和網絡釣魚電子郵件就超過 1,800萬，此外，每天還有 2.4 億封與新冠肺炎相關的垃圾郵件。

為何罪犯分子大多使用網絡釣魚電子郵件發起攻擊呢？答案很簡單，因為網絡釣魚電子郵件仍然是一種有效的攻擊手段。《Verizons 2019 年數據洩露調查報告》顯示， 32% 的企業數據洩露的罪魁禍首是網絡釣魚電子郵件。此外，78%的網絡間諜活動都使用了網絡釣魚。因此，毫無疑問，犯罪分子將繼續利用人們對新冠疫情的高度關注，冒充世界衛生組織、Zoom、Microsoft或Google等知名組織和公司，誘騙用戶提供敏感訊息。

幕後黑手是誰？

例如，最近有網絡犯罪分子冒充世界衛生組織從域名「who.int」發送惡意電子郵件，利用「世衛組織緊急函件：首次新冠肺炎疫苗人體試驗/結果的最新消息」這個主題來誘騙受害者。電子郵件中包含一個名為「xerox_scan_covid-19_urgent information letter.xlxs.exe」的文件，該文件含有 AgentTesla 惡意軟件。只要受害者點擊該文件，該惡意軟件就會自動下載。

我們還發現了下面兩種勒索電子郵件冒充聯合國和世衛組織，要求將捐款轉到幾個已知受感染的比特幣銀包，如下所示：

冒充視像通訊軟件

疫情期間，大多數人都在家工作時，我們曾報導過網絡犯罪分子如何利用虛假的 Zoom 域名進行網絡釣魚活動。實際上，僅在過去三週內，與 Zoom 相關的新域名就註冊了約 2,500 個（2,449 個）。1.5%（32 個）的域名是惡意域名，其他 13%（320 個）的域名是可疑域名。自 2020 年 1 月至今，全球共註冊了 6,576 個與 Zoom 相關的域名。

除了冒充 Zoom 之外，網絡犯罪分子還使用 Microsoft Teams 和 Google Meet 來誘騙受害者。最近，以「你已被添加到 Microsoft Teams 中的團隊」為主題的網絡釣魚電子郵件讓很多人上當受騙。該電子郵件含有惡意網址「http://login\.microsoftonline.com-common-oauth2-eezylnrb\.medyacam\.com/common/oauth2/」，受害者只要打開指向該網址的「打開 Microsoft Teams」圖示，惡意軟件就會自動下載。而 Microsoft Teams 的實際連結為「https://teams.microsoft.com/l/team」。

還出現了一些 Google Meets 偽造域名，例如 Googelmeets\.com，該域名於 2020 年 4 月 27 日首次註冊。當然，該連結不會將受害者引導至真正的Google網站。

與新冠肺炎相關的網絡攻擊有所增加

在過去三週內，每週發生的與新冠肺炎相關的攻擊多達 19.2 萬起，比前幾週增加了 30%。我們將涉及以下攻擊的定義為新冠肺炎相關攻擊：

• 域名中帶有「corona 」 /「covid」的網站
• 採用「Corona 」相關文件名的文件
• 採用與新冠肺炎相關的電子郵件主題分發的文件

該圖顯示了 Check Point 通過威脅防護技術在網絡、端點和流動設備中檢測到的，並在全球最強大的威脅情報數據庫ThreatCloud 中進行儲存和分析的所有新冠肺炎相關攻擊。

新冠肺炎相關域名

通過觀察新註冊的新冠肺炎相關域名，我們發現這些域名代表著全球疫情發展的不同階段。

• 在疫情爆發初期，與實時疫情地圖（追踪各個地理區域的新冠病例增加情況）以及新冠肺炎症狀相關的域名非常普遍。
• 到 3 月底，多個國家實施經濟計劃後，域名大多與援助方案和刺激消費相關。
• 在一些國家開始放寬限制措施，並開始計劃恢復正常生活後，與疫後生活以及病毒可能會捲土重來這一話題相關的域名變得更加常見。
• 在整個疫情期間，與檢測試劑盒和疫苗相關的域名一直很常見，並且呈緩慢增加的趨勢。

正如我們之前的報告一樣，自 2 月中旬以來，與新冠肺炎相關的新註冊域名不斷增加。在過去三週內，新註冊了近 2 萬個（19,749 個）與新冠肺炎相關的域名，其中 2%（354 個）的域名是惡意域名，另外 15%（2,961 個）的域名是可疑域名。

自疫情爆發以來至今，全球共註冊了 90,284 個與新冠肺炎相關的新域名。

防範與新冠肺炎相關的網絡釣魚攻擊

為確保網絡釣魚攻擊成功，攻擊者必須欺騙用戶。為免遭攻擊，如果熟悉的品牌或組織向你發送任何電子郵件或通訊，要求你打開連結或附件，無論看起來有多正式，都要時刻保持警惕‧合法的電子郵件絕對不會要求你進行這些操作‧下面五條黃金法則可幫助你確保數據安全：

1. 留意相似域名、電子郵件或網站中的拼寫錯誤以及不熟悉的電子郵件發件人。
2. 謹慎打開未知發件人通過電子郵件發送的文件，尤其是當它提示你執行某些通常不會執行的操作時。
3. 確保產品訂購網站的真實性。有一種方法是，不要打開電子郵件中的促銷連結，而是從網上搜索相應的商家，從搜索結果頁面中點擊商家連結。
4. 謹防「特價 」優惠。「僅需 150 美元即可獲得新冠肺炎獨家療法」通常不可靠或不可信。目前尚無治愈新冠肺炎的有效療法，即使可以治愈，也絕對不會通過電子郵件提供給你。
5. 確保不要在不同的軟件和帳戶之間重複使用密碼。

此外,組織應使用端到端的網絡架構來阻止零日攻擊,以攔截欺詐釣魚網站並實時提供密碼重用警告。Check Point Infinity 是一個有效的安全平台,它不僅涵蓋所有攻擊面和攻擊途徑,而且能提供高級防護來抵禦最複雜的零日釣魚攻擊和帳戶接管攻擊。