Check Point:攻击者通过合法email服务窃取用户凭证信息

近日， Check Point® 软件技术有限公司的研究人员对电子邮件安全展开调研，结果显示凭证收集仍是主要攻击向量，59% 的报告攻击与之相关。它还在商业电子邮件入侵 (BEC) 攻击中发挥了重要作用，造成了 15% 的攻击。同时，在2023年一份针对我国电子邮件安全的第三方报告显示，与证书/凭据钓鱼相关的不法活动仍居电子邮件攻击活动之首。而我国在2022年内受钓鱼邮件攻击的总量仅次于美国，位居全球第二名。种种迹象均已表明，钓鱼邮件这一“简单粗暴”的方式仍然受到不法分子的“青睐”。

为窃取和收集用户凭证，网络钓鱼电子邮件中会随附一个恶意 URL 或附件。Check Point 的遥测数据显示，超过一半的恶意附件是 HTML 文件。为了诱骗用户，其中许多附件伪装成了已知服务和厂商（如微软、Webmail 等）的登录页面。

图 1：按文件类型划分的恶意附件。资料来源：Check Point Research

用户在伪造登录表单中输入自己的凭证并点击提交，然后凭证通常通过 Web 服务器或 Telegram 的 API 发送给攻击者。在过去的几个月里，CPR 观察到持续不断的攻击活动涉及数千封电子邮件，这些电子邮件利用 EmailJS、Formbold、Formspree 和 Formspark 等合法服务来获取被盗凭证。上述服务都是在线表单构建器，允许用户为自己的网站或 Web 应用创建自定义表单，并得到了开发人员的广泛使用。它们不仅为构建可嵌入到网站或应用的表单提供了用户友好型界面，而且还可提供各种表单字段类型，例如文本输入字段、单选框、复选框、下拉菜单等，以便用户以结构化的方式收集用户信息。用户提交表单后，此类服务将处理表单数据并收集被盗凭证。

图 2：凭证收集流程

凭证收集

凭证收集是一种网络攻击，其中攻击者窃取用户名和密码等敏感信息，以获取用户对合法网络服务的初始访问权限或在网上贩卖。通常，这些攻击并非针对某一特定机构，而是试图收集尽可能多的不同用户名和密码来在网上兜售。

图 3：暗网论坛出售被盗凭证。

合法邮件服务之殇

过去，攻击者主要使用两种方法来收集凭证。第一种方法是使用托管在受攻击站点上的 PHP 文件。然而，在这种方法中，攻击者面临着站点被网络安全解决方案拦截的可能性。第二种方法是使用 Telegram 的 API，但这种方法被安全厂商所熟知，因此被拦截的几率更高。现在，使用合法表单服务 API 的新方法被许多开发人员所使用，这就加大了拦截恶意 HTML 文件的难度。借助该 API，凭证可被发送到攻击者选择的任何位置，甚至能够发送到他自己的邮箱。

以EmailJS 为例，EmailJS 是一项允许开发人员只使用客户端技术（而无需任何服务器代码）发送电子邮件的服务。若要使用该服务，用户只需：

• 将电子邮件地址连接到该服务；
• 创建一个电子邮件模板，以确定电子邮件发送方式以及电子邮件接收地址；
• 使用 EmailJS SDK 或 API，以利用 JavaScript 发送电子邮件。

该服务每月可免费发送最多 200 封电子邮件，而通过订阅，每月可发送多达 100,000 封电子邮件。该服务是合法的，根据其官网数据，有超过 25,000 名开发人员正在使用这项服务。

图 4：EmailJS 官网

以下两个示例说明了攻击者正如何使用该服务来收集被盗凭证——

图 5：使用 EmailJS 的网络钓鱼页面

在图 5 中，攻击者首先利用其公钥使用“emailJS.init”，然后使用函数“sendEmail”（当用户提交表单时被触发）和“emailjs.send”通过电子邮件将数据传输到他的电子邮件帐户。

图 6：另一个从 HTML 文件中使用 EmailJS 的示例

在图 6 中，攻击者直接使用 EmailJS API 将受害者的凭证发送给自己。
上述示例均来自于我们观察到的一起攻击活动。此外，Check Point还发现该攻击活动使用了两个不同的 EmailJS 公共 API 密钥。

一起真实的钓鱼攻击

CPR近日检测到一起始于一封钓鱼电子邮件的持续攻击活动，这场攻击活动用到了该电子邮件的多个版本和几个不同的 HTML 模板。

  图 7：攻击活动中使用的网络钓鱼电子邮件的示例

所附文件与受害者收到的电子邮件相对应，Check Point已发现了该电子邮件的多个版本。

图 8：HTML 附件伪装成文件和网页邮件登录页面

为了让登录页面看似没问题，攻击者在表单（在 HTML 文件中进行了硬编码）中填写了受害者的电子邮件地址。一旦受害者输入其凭证并尝试登录，用户名和密码就会被直接发送到攻击者的电子邮件收件箱。

图 9：使用 EmailJS 的凭证收集流程

图 10：使用 Formspark 的 HTML 附件的示例

预防为先刻不容缓

通过合法手段进行不发活动无疑使安全形势变得更加复杂。同时，今年四月Check Point揭示了如何通过ChatGPT进行钓鱼软件编写，这也意味着不法行为的实施成本也在日趋降低。因此，时刻保持Check Point公司倡导的“预防为先”的安全理念，才是打造互联网安全环境的第一步重要措施。

Check Point Threat Emulation 客户端能够防御此类攻击。考虑到逃逸型零日攻击和网络钓鱼攻击的速度和复杂性，采用 AI 深度学习 来预测和阻止恶意行为、且无需人工干预的解决方案将逐渐成为邮件安全防御的主流。

在 Miercom 基准测试报告中，Check Point 取得了网络钓鱼防御率高达 99.9% 的骄人成绩，实现了 99.7% 的恶意软件防御率，而且在网络钓鱼、恶意软件及零日网络钓鱼 URL 方面的漏检率几乎为 0%。因此，Check Point有信心帮助用户在恶意邮件攻击日趋严峻的形势下，依然可以享有最高级别的安全防护，确保核心数字资产无虞。