Darktrace电子邮件发现：两起WeTransfer冒充攻击被电子邮件安全产品总监AIDan Fein抓获|星期四2020年7月30日，在最近几个月，Antigena电子邮件看到了声称来自文件共享网站WetTransfer的电子邮件攻击激增。这些攻击试图将恶意软件部署到收件人的设备中，并进一步渗透到组织。这个是由攻击者部署的一种常见技术，攻击者在知名SaaS供应商的信任品牌背后成功伪装。我们最近在QuickBooks和Microsoft上都看到过类似的攻击小组。事故ONETH这封邮件是针对亚太地区一家金融服务机构会计部的一名员工。100%于2020年6月15日星期一03:14:30发件人：wetransfer收件人：孙我们通过向您发送发票WeTransferEmail标记suspious link电子邮件上的新联系人操作双重锁定链接移动到JunkHold邮件图1:Antigena电子邮件用户界面的交互式快照此电子邮件的主题行-"我们通过WeTransfer向您发送了发票"-是典型的招揽攻击。隐藏在"获取文件"按钮后面的是一个包含恶意软件但显示了登录页面的网页。如果用户输入用户名和密码试图访问此"发票"，恶意软件将获取他们的凭据并将其发送到袭击者。图2： 假冒的登录页面被标为微软Excel，这很可能会将凭证发送到一个由攻击者控制的电子表格。这次攻击绕过了其他安全工具，但由于一些异常情况被Antigena电子邮件检测到，当这些异常被缝合在一起时，会清楚地显示出威胁。数字3： Antigena电子邮件的仪表板显示了emailCritical背后的关键元数据对于Antigena电子邮件检测到的这次攻击是电子邮件包含一个异常链接。WeTransfer在电子邮件中链接到直接竞争对手SharePoint是非常不寻常的。人工智能还认识到，无论是会计部门的员工还是组织中的任何其他人以前都没有访问过相关的域，并认为这封电子邮件是100%不正常的。这些，以及网址的其他特征，让Darktrace的人工智能有理由用"可疑链接"标签来标记这封邮件，提示Antigena电子邮件双重锁定违规链接并阻止收件人的邮件收件箱。事件一周后，在欧洲的一家律师事务所发现了第二起利用WeTransfer的名字的事件。这封电子邮件更加复杂，甚至更有说服力，似乎来自合法的WeTransfer域。然而，它仍然推出了十几个型号，再次促使安提吉纳锁定链接并阻止电子邮件，08:25:17发件人：wetransfer收件人：乔治·托德我们通过WeTransferEmail标记poofingsuspencous link欺骗指示符号中等通信历史范围内电子邮件锁定链接上的分布Double Lock LinkMove to JunkHold消息向您发送了发票图4:第二封邮件这次攻击更进一步。而在前一个场景中，攻击者利用简单地更改了个人姓名，在这里，攻击者操纵了邮件头，使邮件看起来像是来自WeTransfer域。最近本月在Black Hat上公布的一项研究表明，可能有多达18种不同的方法来误导常见的电子邮件验证检查，如域密钥识别邮件（DKIM）和基于域的消息验证，报告和合规性（DMARC）。这些技术中的一些可以简单到在电子邮件头中包括两个From行，这可能导致邮件服务器验证第一个From头，而电子邮件客户端显示第二个From地址。因此，从攻击者的邮件服务器发送的电子邮件将被验证为来自合法地址；在本例中。这个明显的发送者的熟悉程度反映在"深度"和"宽度"分数上，分别低于19和47，表明沟通历史适中。然而，Antigena电子邮件揭示了真正的发送者是一个不相关和不寻常的领域，一个与湿传输图5： 对第二封电子邮件的分析表明，主机域与WeTransferDarktrace的AI无关，还检测到电子邮件中的两个可疑链接，鉴于WeTransfer和客户之间先前的通信（重要的是，没有湿传输链路！）图6：电子邮件中的两个链接被认为是高度不正常的，威胁这些不寻常的链接，再加上对欺骗企图的认识，促使Antigena电子邮件将此电子邮件视为100%不正常，并进行干预，保护收件人和企业免受伤害。尽管第二次电子邮件攻击采用了更为复杂的攻击方法，使其能够避开传统电子邮件工具，并与合法电子邮件非常相似，Darktrace的人工智能能够识别出一系列更广泛的指标，促使它持有电子邮件回来。谢谢感谢Darktrace分析师Thomas Nommensen和Andras Balogh对上述威胁的见解找到。学习更多关于安提吉娜EmailDan feinb总部设在纽约，丹是美国电子邮件安全产品总监。他于2015年加入了Darktrace的技术团队，帮助客户迅速对Darktrace全球领先的网络人工智能平台和产品有一个全面而细致的了解。Dan特别关注Antigena电子邮件，确保它能有效地部署在复杂的数字环境中，并与开发、营销、销售和技术团队密切合作。丹拥有纽约计算机科学学士学位大学。分享在LinkedIn上的FacebookTweetShare发送电子邮件