phishing-url-trends_钓鱼邮件基于URL的在发送成功率上完胜附件的钓鱼邮件

数十年来，钓鱼邮件的开头方式保持不变，就是通过含有恶意网址或附件来实施攻击。不过近些年，恶意链接开始成为网络钓鱼邮件的首选诱饵，这种手段比使用附件更能迅速触达目标用户。去年的统计资料表明，网址在2022年仍然比附件更为普遍，这存在几个缘由：部分可信域名容易被恶意利用，互联网上存在提供钓鱼设施的无偿服务，以及重定向能够起到掩盖作用。

与相关的基于URL的网络钓鱼占有很高的比例

这种情形在企业收到的钓鱼邮件中持续存在，即便这些企业组织普遍配备了知名的安全电子邮件网关，也就是SEG。

图1. 2021年，通过网址传播的钓鱼邮件占收件箱钓鱼邮件的比例，2022年，通过附件传播的钓鱼邮件占收件箱钓鱼邮件的比例。

钓鱼邮件通过网址实施比通过附件实施更易规避SEG的审查，这背后存在多种解释。当信誉良好的域名被挪作他用时，相关链接本身就带有一定的可信度。SEG在分辨恶意文件方面或许比辨别网址更为擅长。大量正规的商业推广邮件也混入了源自匿名的网址，这使得它们与来自陌生渠道的恶意网址难以区分。不包含SEG的情况下，恶意行为者有更充分的动机运用网址，因为当前的工作场合里，使用者或许更倾向于点击陌生的网址，而不是打开陌生的附件文件。图1所展示的两份图表表明，从2021年到2022年，依托网址实施的钓鱼邮件比例并没有出现明显波动，然而其数量仍然持续地是采用附件方式的四倍还多。相比之下，通过附件进行的钓鱼活动占比有所提升，大约增加了3个百分点。

惯常的鱼饵式电子函件多以窃取登录信息或散播有害程序为目的，附加的文档和内嵌的网址均可用来达成上述任一目的，如图2所示，虽然借由附件诱骗受害者的恶意电子函件数量多于窃取登录信息的鱼饵式电子函件，但两者均主要通过植入的网址来实施。

图2, 展示了2022年期间, 钓鱼网站和恶意软件传播所使用的, 链接与附件的对比情况。

通常情况下，我们会发现URL在凭证网络钓鱼活动中占据较大比例，这主要是因为多数凭证网络钓鱼的变种都强制要求使用URL。网络钓鱼即服务以及现成的网络钓鱼工具往往也倾向于采用URL。不过，使用附件的情况依然普遍存在，其中HTML和PDF等文件格式是凭证网络钓鱼邮件附件中常见的种类。

先前提到过，通过附件传播恶意程序的现象，比在凭据网络钓鱼活动中观察到的更为普遍。这或许是因为多数恶意程序传播都依赖文件作为最终攻击载荷，表明攻击者已对文件应用相当熟练。另一种常见手法是，攻击者试图发送恶意程序，将恶意文件藏入加密的ZIP压缩文件内，意图干扰SEG的分析工作。这提升了我们收到面向终端用户钓鱼邮件的总量。另外，诸如X等一些更复杂的广撒网型恶意软件家族，虽然通过邮件传输附件，但同样会利用内嵌链接。

钓鱼URL及其规避策略

网络钓鱼链接是当下最普遍的诱导目标用户的方式，常被置于诱骗性电子函件之中送达收件箱。恶意行为者运用的钓鱼手法以规避邮件防护系统而著称，从而加剧了此类现象的发生。针对终端用户的钓鱼网址通常在封装的链接中采用某类技巧（尽管还有其他手法）：

云服务这类可信服务，经常被不法分子用作放置恶意信息的平台，他们把钓鱼网站建立在被用户和安全系统认可的域名上，这种做法使得钓鱼邮件容易送到收件人手里，因为这类域名很难完全被拦截。

威胁分子常利用公开可用的服务,这些服务通常免费或价格低廉,他们会在网络钓鱼活动中恶意使用,有时甚至使得他们的网址带有可信的域名,任何提供免费或低价托管的平台都可能被恶意分子利用。

反复跳转——这种手法在鱼叉式网络钓鱼邮件里很常见，里面的网址并非攻击的初始环节，而是经过多重转向，形成一连串待检测的恶意链接，攻击者借此从起始地址最终到达目标网页，该网页直接用于下载病毒程序或骗取账号密码，安全设备往往来不及察觉。

图3. 使用恶意链接的钓鱼邮件示例。

恶意附件经配置后以到达收件箱

有效利用网络钓鱼邮件里的恶意附件，有多种可行方法，这些附件能达成多种目的，比如直接窃取账号密码，里面可能还包裹着其他压缩的恶意文件，也可能引导用户访问钓鱼网址，或者作为恶意程序下载的初始阶段，其具体形式往往取决于针对的目标群体。在涉及有害文件的网络欺诈性电子函件里，我们观察到的一些主要手法包括：通过伪装成合法附件来诱骗收件人下载，利用紧急或诱惑性主题激发好奇心，借助仿冒知名机构名称增加可信度，以及通过嵌入恶意链接或脚本实施攻击，这些是常见的操作方式。

黑客惯于利用加密文档，例如压缩包，以此规避防护措施，进而抵达指定对象。这种手法臭名昭著，他们频繁散播大量含恶意代码的电子信件，内容被压缩在加密的ZIP文件内。通常将密码置于目标易于获取的位置，譬如邮件正文之中。

陌生文件——恶意行为者总在寻找安全专家可能未察觉、能规避安全防护机制的新型文件。这类威胁手法简单且显眼，多数安全防护系统都能轻易识别并拦截直接附加的恶意程序。但攻击者已察觉到这一弱点，近期发现犯罪团伙开始发送直接附加的.ONE文件，似乎成功绕过了安全防护检测。

文件经过特殊处理，这种做法能让有害程序难以被理解。威胁制造者经常对HTML文档进行加密，尽管如此，采用编码手段来隐藏内容，是许多不同种类文件都会使用的一种普遍技巧。

图4. 使用恶意附件的钓鱼邮件示例。

翻译自：

from