阻止网络钓鱼并切断加密泄露和通信

曾几何时，网络钓鱼和鱼叉式网络钓鱼攻击只会在一年中的特定时间激增，例如圣诞节或中国新年等重大节日，情人节或元宵节等消费者节日，或美国的黑色星期五或网络星期一等消费者购物活动，英国和英联邦的节礼日（12 月²⁶日），或亚洲的光棍节（11 月 11^日）。

攻击者随后发现，他们可以利用自然和人为灾难、战争、疾病、选举或任何推动当今新闻周期的事件所引发的 FUD（恐惧、不确定性和怀疑）来播下恶意的种子。

英国信息专员办公室 (ICO) 表示，2019 年 4 月至 2020 年 3 月期间，网络钓鱼是网络相关违规行为的首要原因。 澳大利亚信息专员办公室（OAIC）显示，网络钓鱼占向其报告的所有案件的 36%，位居榜首。

为此，受全球疫情威胁、各国隔离或封锁、员工必须在家办公，甚至美国和其他国家激烈的选举等因素影响，2020 年全年网络钓鱼和鱼叉式网络钓鱼攻击急剧增加。 甚至连针对 COVID-19 的疫苗已经准备就绪的公告也被利用来诱使谨慎的人们打开来自未知来源（甚至是已知来源，但其帐户可能已被入侵和劫持）的电子邮件，然后传播恶意软件和其他恶意攻击媒介，窃取用户和公司信息或非法访问敏感网络、云、applications和数据。

近期网络钓鱼攻击激增的最常见原因之一是新冠疫情引发的居家办公令。 许多员工、承包商和其他工作人员被迫在家或远程工作，这很快引起了攻击者的不必要的关注。 他们明白，远程工作的人很可能会面临越来越大的压力，放松警惕，开始点击几乎任何电子邮件中的链接，甚至是那些通常会引起怀疑的链接。 他们还知道，在家工作的人可能会使用 BYOD 产品，而这些产品不具备组织通常使用的工具来保护他们免受网络钓鱼等攻击。 攻击者和黑客还认为，在家办公的员工可能没有足够的带宽来保持安全软件的运行或更新，因此可能会关闭或错过安全软件的更新。 很多时候，他们是对的。

网络钓鱼和加密

随着网络钓鱼攻击迅速增加，使用加密技术的钓鱼网站的数量也随之增加。 根据 F5 实验室最新发布的《2020 年网络钓鱼和欺诈报告》 ，近 72% 的网络钓鱼链接会将受害者引导至 HTTPS 加密的网站。 这意味着，绝大多数恶意网络钓鱼网站现在看起来都是有效、可信的网站，甚至可以轻易欺骗最精明的员工。 其他报告的研究也证实了这一数据，其中Venafi 的一份报告发现了可疑的零售相似域名，这些域名使用有效证书使网络钓鱼网站看起来有效，从而导致敏感账户和支付数据被盗。

而且，并非只有恶意网站会利用 TLS 加密来显得令人信服和合法。 这也是通过网络钓鱼攻击传播的恶意软件将从受害者及其组织窃取的数据发送到的目的地；这些目的地被称为投放区。 根据 F5 实验室的《2020 年网络钓鱼和欺诈报告》，F5 安全运营中心 (SOC) 在 2020 年调查的涉及投放区的所有事件（100%）都使用了 TLS 加密。

在加密流量中发现威胁并不容易

目前，有许多解决方案可以从不同角度解决网络钓鱼问题。 有一些解决方案可以培训员工如何识别和处理网络钓鱼攻击，以减少攻击的发生和效力。 这些解决方案解决电子邮件安全问题，防止垃圾邮件、恶意软件和恶意附件、BEC 攻击等。 有一些服务可以管理组织的电子邮件。 甚至还有一些产品可以代理组织的网络流量，复制或模仿它，并将代码传送到本地设备进行呈现或模仿网页，但不包含任何底层可疑和可能的恶意代码。

虽然这些都是很好的解决方案，但仍然存在解决加密流量的问题。 如果流量是加密的，则需要先解密才能检查是否存在恶意软件和其他危险代码。 这同样适用于进入组织的加密流量，例如用户点击钓鱼电子邮件中的恶意、易受恶意软件攻击的链接、下载包含恶意代码的附件以及访问看似真实和良性的恶意网站（因为它们拥有“正确”的加密证书），以及带着被盗数据离开加密投放区或联系命令和控制 (C2) 服务器以获取更多指令或触发器以发动更多攻击的加密流量。

另外，这还没有考虑到政府隐私法规，例如欧盟的《通用数据保护条例》（GDPR）、《加州消费者隐私法案》（CCPA）或世界各国正在讨论的许多其他法规，这些法规通常包括禁止解密个人用户信息的语言，例如用户财务或医疗保健数据。 任何加密流量的解密都需要满足这些隐私要求，否则可能会导致任何违反这些法规的组织面临诉讼和巨额罚款。

但等等，还有更多……

尽管如此，当今使用加密技术的网络钓鱼攻击还有更多危险，组织必须意识到这一点。 F5 实验室的《2020 年网络钓鱼和欺诈报告》还发现，超过 55% 的投放区使用非标准 SSL/TLS 端口，而超过 98% 的网络钓鱼网站使用标准端口，例如用于明文 HTTP 流量的端口 80 和用于加密流量的端口 443。 这意味着，特别是对于出站加密流量，依靠扫描标准端口是不够的。 部署的解决方案需要扫描和解密非标准端口上的传出流量。 为了阻止关键数据的混淆和泄露，这一点至关重要。

如今，为了阻止由网络钓鱼攻击带来的加密威胁，组织需要检查所有传入的 SSL/TLS 流量，以确保阻止和消除任何恶意或可能由网络钓鱼发起的网络流量。 但该检查必须包括智能绕过解密包含敏感用户信息（例如财务或健康相关信息）的加密流量的能力。 此外，当今的组织需要彻底阻止或至少监控非标准的出站 Web 端口，以阻止恶意软件与 C2 和放置区服务器进行加密通信，从而阻止数据泄露或攻击触发。 还有其他关键事项需要考虑，例如安全堆栈中的设备支持的加密类型。 例如，如果攻击者知道某个安全设备无法支持前向保密（也称为完美前向保密或 PFS），他们就可以利用它，让加密流量简单地通过安全设备。 在堆栈中的安全设备以菊花链形式连接在一起的环境中，此操作尤其昂贵且危险。 如果不支持 PFS 的设备绕过了流量，那么该链的其余设备也会绕过它。

如果没有这些保护措施，再加上安全意识培训和电子邮件安全或反网络钓鱼解决方案的实施，组织将面临攻击和入侵的风险，关键的公司和用户数据也可能会被窃取。

有关 F5 SSL Orchestrator 如何消除加密流量传输的安全盲点，以及如何消除被窃取和泄露的关键数据的混淆，请单击此处。