近日， Check Point® 軟件技術有限公司的研究人員對電子郵件安全展開調研，結果顯示憑證收集仍是主要攻擊向量，59% 的報告攻擊與之相關。它還在商業電子郵件入侵 (BEC) 攻擊中發揮了重要作用，造成了 15% 的攻擊。同時，在2023年一份針對我國電子郵件安全的第三方報告顯示，與證書/憑據釣魚相關的不法活動仍居電子郵件攻擊活動之首。而我國在2022年內受釣魚郵件攻擊的總量僅次于美國，位居全球第二名。種種跡象均已表明，釣魚郵件這一“簡單粗暴”的方式仍然受到不法分子的“青睞”。

為竊取和收集用戶憑證，網絡釣魚電子郵件中會隨附一個惡意 URL 或附件。Check Point 的遙測數據顯示，超過一半的惡意附件是 HTML 文件。為了誘騙用戶，其中許多附件偽裝成了已知服務和廠商（如微軟、Webmail 等）的登錄頁面。

圖 1：按文件類型劃分的惡意附件。資料來源：Check Point Research

用戶在偽造登錄表單中輸入自己的憑證并點擊提交，然后憑證通常通過 Web 服務器或 Telegram 的 API 發送給攻擊者。在過去的幾個月里，CPR 觀察到持續不斷的攻擊活動涉及數千封電子郵件，這些電子郵件利用 EmailJS、Formbold、Formspree 和 Formspark 等合法服務來獲取被盜憑證。上述服務都是在線表單構建器，允許用戶為自己的網站或 Web 應用創建自定義表單，并得到了開發人員的廣泛使用。它們不僅為構建可嵌入到網站或應用的表單提供了用戶友好型界面，而且還可提供各種表單字段類型，例如文本輸入字段、單選框、復選框、下拉菜單等，以便用戶以結構化的方式收集用戶信息。用戶提交表單后，此類服務將處理表單數據并收集被盜憑證。

圖 2：憑證收集流程

憑證收集

憑證收集是一種網絡攻擊，其中攻擊者竊取用戶名和密碼等敏感信息，以獲取用戶對合法網絡服務的初始訪問權限或在網上販賣。通常，這些攻擊并非針對某一特定機構，而是試圖收集盡可能多的不同用戶名和密碼來在網上dou shou。

圖 3：暗網論壇出售被盜憑證。

合法郵件服務之殤

過去，攻擊者主要使用兩種方法來收集憑證。第一種方法是使用托管在受攻擊站點上的 PHP 文件。然而，在這種方法中，攻擊者面臨著站點被網絡安全解決方案攔截的可能性。第二種方法是使用 Telegram 的 API，但這種方法被安全廠商所熟知，因此被攔截的幾率更高。現在，使用合法表單服務 API 的新方法被許多開發人員所使用，這就加大了攔截惡意 HTML 文件的難度。借助該 API，憑證可被發送到攻擊者選擇的任何位置，甚至能夠發送到他自己的郵箱。

以EmailJS 為例，EmailJS 是一項允許開發人員只使用客戶端技術（而無需任何服務器代碼）發送電子郵件的服務。若要使用該服務，用戶只需：

1、將電子郵件地址連接到該服務；

2、創建一個電子郵件模板，以確定電子郵件發送方式以及電子郵件接收地址；

3、使用 EmailJS SDK 或 API，以利用 JavaScript 發送電子郵件。

該服務每月可免費發送最多 200 封電子郵件，而通過訂閱，每月可發送多達 100,000 封電子郵件。該服務是合法的，根據其官網數據，有超過 25,000 名開發人員正在使用這項服務。

圖 4：EmailJS 官網

以下兩個示例說明了攻擊者正如何使用該服務來收集被盜憑證——

圖 5：使用 EmailJS 的網絡釣魚頁面

在圖 5 中，攻擊者首先利用其公鑰使用“emailJS.init”，然后使用函數“sendEmail”（當用戶提交表單時被觸發）和“emailjs.send”通過電子郵件將數據傳輸到他的電子郵件帳戶。

圖 6：另一個從 HTML 文件中使用 EmailJS 的示例

在圖 6 中，攻擊者直接使用 EmailJS API 將受害者的憑證發送給自己。上述示例均來自于我們觀察到的一起攻擊活動。此外，Check Point還發現該攻擊活動使用了兩個不同的 EmailJS 公共 API 密鑰。

一起真實的釣魚攻擊

CPR近日檢測到一起始于一封釣魚電子郵件的持續攻擊活動，這場攻擊活動用到了該電子郵件的多個版本和幾個不同的 HTML 模板。

圖 7：攻擊活動中使用的網絡釣魚電子郵件的示例

所附文件與受害者收到的電子郵件相對應，Check Point已發現了該電子郵件的多個版本。

圖 8：HTML 附件偽裝成文件和網頁郵件登錄頁面

為了讓登錄頁面看似沒問題，攻擊者在表單（在 HTML 文件中進行了硬編碼）中填寫了受害者的電子郵件地址。一旦受害者輸入其憑證并嘗試登錄，用戶名和密碼就會被直接發送到攻擊者的電子郵件收件箱。

圖 9：使用 EmailJS 的憑證收集流程

圖 10：使用 Formspark 的 HTML 附件的示例

預防為先刻不容緩

通過合法手段進行不發活動無疑使安全形勢變得更加復雜。同時，今年四月Check Point揭示了如何通過ChatGPT進行釣魚軟件編寫，這也意味著不法行為的實施成本也在日趨降低。因此，時刻保持Check Point公司倡導的“預防為先”的安全理念，才是打造互聯網安全環境的第一步重要措施。

Check Point Threat Emulation 客戶端能夠防御此類攻擊。考慮到逃逸型零日攻擊和網絡釣魚攻擊的速度和復雜性，采用 AI 深度學習 來預測和阻止惡意行為、且無需人工干預的解決方案將逐漸成為郵件安全防御的主流。

在 Miercom 基準測試報告中，Check Point 取得了網絡釣魚防御率高達 99.9% 的驕人成績，實現了 99.7% 的惡意軟件防御率，而且在網絡釣魚、惡意軟件及零日網絡釣魚 URL 方面的漏檢率幾乎為 0%。因此，Check Point有信心幫助用戶在惡意郵件攻擊日趨嚴峻的形勢下，依然可以享有最高級別的安全防護，確保核心數字資產無虞。

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！