ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1192

术语表: /attack/glossary

鱼叉式网络钓鱼链接

带链接的鱼叉式网络钓鱼是鱼叉式网络钓鱼的一种特殊变体。 它不同于其他形式的鱼叉式网络钓鱼,它使用链接下载电子邮件中包含的恶意软件,而不是将恶意文件附加到电子邮件,以规避可能检查电子邮件附件的防御。 所有形式的鱼叉式钓鱼都是以电子方式进行的针对特定个人,公司或行业的社会工程。 在这种情况下,恶意电子邮件包含链接。 通常,这些链接将伴随着社会工程文本,并要求用户主动单击或复制 URL 并粘贴到浏览器中,从而利用用户执行(User Execution)。 被访问的网站可能使用 exploit 攻击 web 浏览器,或提示用户下载应用程序、文档、zip 文件,甚至是可执行文件,这取决于电子邮件的托辞 (pretext)。 攻击者还可以包括旨在与电子邮件阅读器直接交互的链接,包括旨在直接利用终端系统或验证电子邮件接收(即网络错误/网络信标)的嵌入式图像。

缓解

这种技术涉及到在终端上与用户交互,因此难以完全缓解。 然而,也有潜在的缓解措施。 可以培训用户,使其能够识别社会工程技术和钓鱼电子邮件与恶意链接。 当用户执行时,还可以采取其他缓解措施。

检测

检查电子邮件中的 URL(包括扩展的短链接)有助于检测指向已知恶意站点的链接。 引爆设计 (detonation chambers) 可用于检测这些链接,并自动转到这些站点以确定它们是否具有潜在恶意,或在等待用户访问链接时捕获内容。 这种技术通常涉及终端上的用户交互,因此一旦用户执行(User Execution),就可能检测到鱼叉式钓鱼链接。