湖北國菱提醒您注意！針對企業(yè)的釣魚郵件APT攻擊爆發(fā)，近3萬家中國企業(yè)遭到攻擊

來源：湖北國菱網(wǎng)絡(luò)安全 時(shí)間：2017-12-08

近日，網(wǎng)絡(luò)安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室的安全態(tài)勢感知系統(tǒng)，監(jiān)測到一起大范圍的APT攻擊事件，52個(gè)國家的網(wǎng)站被利用。受攻擊的企業(yè)、單位對象中，70%來自中國，包括比亞迪、京東、南京大學(xué)、江南大學(xué)等多家知名企業(yè)、單位。該實(shí)驗(yàn)室安全態(tài)勢感知系統(tǒng)的監(jiān)控?cái)?shù)據(jù)顯示，此類型釣魚郵件從11月20號開始傳播，短短2天就達(dá)到了每日4萬以上的傳播量；工作日傳播量更大，峰值能達(dá)到將近6萬次日傳播量。而從11月28日至12月4日的7天時(shí)間內(nèi)，共發(fā)現(xiàn)18 萬個(gè)email用戶被釣魚攻擊，平均每日受影響的用戶數(shù)在3萬人左右。

目前，針對這種情況，用戶如果接收到來歷不明的文件，也不必驚慌，可以聯(lián)系湖北國菱網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)進(jìn)行處理。

（釣魚郵件鏈接傳播趨勢）

（每日受影響的人數(shù)）

界面極具迷惑性  釣魚鏈接的域名絕大部分是正常網(wǎng)站

APT（Advanced Persistent Threat）是一種高級持續(xù)性威脅攻擊。利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT目標(biāo)攻擊通常采用魚叉式網(wǎng)絡(luò)釣魚攻擊手法，針對企業(yè)內(nèi)部的個(gè)人或團(tuán)體，偽造包含目標(biāo)對象相關(guān)信息的電子郵件，盜取目標(biāo)的企業(yè)郵箱賬號，獲取企業(yè)信息，為進(jìn)一步滲透企業(yè)內(nèi)網(wǎng)做準(zhǔn)備。

（釣魚郵件樣例）

點(diǎn)擊釣魚鏈接后出現(xiàn)的界面極具迷惑性，如果用戶不注意，則很容易上當(dāng)受騙。這次釣魚郵件的鏈接有一個(gè)很明顯的形式，那就是釣魚鏈接的域名絕大部分是正常網(wǎng)站，因此可以推斷是黑產(chǎn)人員利用了正常網(wǎng)站存在的漏洞，然后放入釣魚鏈接。

（點(diǎn)擊釣魚郵件鏈接后出現(xiàn)的登錄界面）

被入侵用來釣魚的美國企業(yè)網(wǎng)址最多，釣魚攻擊的目標(biāo)主要針對中國企業(yè)

從這些被利用站點(diǎn)所處的地理位置來看，包括中國在內(nèi)，總共有52個(gè)國家的網(wǎng)站被利用，其中絕大部分為國外網(wǎng)站，占到了總數(shù)的95%，在所有國家中，美國受害的網(wǎng)站數(shù)目最多，占到了總量的54.4%。

（被利用站點(diǎn)地理位置分布）

而從被盜號郵箱的域名服務(wù)分析來看，共有將近4萬家企業(yè)、高校、政府組織的郵箱服務(wù)接收到釣魚郵件，其中71%（29000多家）來自中國的企業(yè)、高校和政府組織，其中不乏知名企業(yè)、教育機(jī)構(gòu)。比如比亞迪、江南大學(xué)等；美國企業(yè)也“受害不淺”，占到了總數(shù)的24%。

針對這種情況，湖北國菱網(wǎng)絡(luò)安全團(tuán)隊(duì)提供下面兩種方案支持。

方案一：基于DNS服務(wù)器的網(wǎng)絡(luò)釣魚安全解決方案

方案二:基于企業(yè)網(wǎng)關(guān)的網(wǎng)絡(luò)釣魚安全解決方案

目前湖北國菱安全團(tuán)隊(duì)已經(jīng)通過和公安、運(yùn)營商合作有效降低部署地網(wǎng)址詐騙案發(fā)率，推出本地庫安全解決方案，識別和攔截惡意網(wǎng)址。

湖北國菱計(jì)算機(jī)科技有限公司網(wǎng)絡(luò)安全歡迎各個(gè)企業(yè)安全團(tuán)隊(duì)、安全公司伙伴和對接方案，從更多場景保護(hù)用戶上網(wǎng)安全！聯(lián)系郵箱：business@gl-ns.com。