钓鱼攻击者通过冒充网络安全公司Proofpoint,并试图窃取受害者的微软Office 365和谷歌电子邮件的凭证。
据研究人员称,他们发现了一个针对某家不知名的全球通信公司的攻击活动,仅在该组织内就有近千名员工成为了攻击目标。
他们在周四的一篇文章中解释说,电子邮件声称这里面包含了一个Proofpoint发送的安全文件的链接,点击该链接,受害者就会进入到一个虚假的Proofpoint网站的页面,并包含了不同电子邮件服务商的登录链接。该攻击还使用了微软和谷歌的登录页面对用户进行攻击。
该电子邮件使用的诱饵是一个自称与抵押贷款支付有关的文件。其主题 "Re: Payoff Request ",这样是为了更好的欺骗目标,使其认为这是一个合法的邮件,同时也增加了该程序的紧迫感。
根据分析,在电子邮件中添加'Re'是我们观察到的骗子经常使用的一种攻击策略,该符号意味着当前正在进行对话,可能会使受害者更快地点击该电子邮件。
如果用户点击邮件中嵌入的 "安全的" 电子邮件链接,他们就会被引导到带有Proofpoint品牌的钓鱼攻击欺骗页面中。
研究人员解释说,点击谷歌和Office 365的按钮, 用户分别会被引导到谷歌和微软的钓鱼登录页面。这两个页面都要求受害者提供电子邮件地址和密码。
研究人员指出,由于钓鱼网站使用了许多用户日常生活中经常使用的工作流程(即当文件通过云端与他们共享时收到电子邮件通知),攻击者希望用户不会对这些电子邮件有太多的怀疑。
根据分析,当我们看到以前已经看过的电子邮件时,我们的大脑倾向于采用系统1的思维方式来思考并尽快采取行动。
在基础设施方面,这封邮件是从法国南部的一个消防部门中被攻击的电子邮件账户发出的。研究人员指出,这样有助于钓鱼网站躲避微软的本地电子邮件安全过滤器的检测。换句话说,它们根本就没有被标记为垃圾邮件。
此外,这些钓鱼网页被托管在 "greenleafproperties[.]co[.]uk "父域名上。
该域名的WhoIs记录显示它最后一次更新是在2021年4月,URL目前会重定向到'cvgproperties[.]co[.]uk'域名上。这个十分简短的网址和可疑的页面增加了这个网站的不合法性。
像这样的网络攻击会利用到社会工程学、冒充合法的品牌和使用合法的基础设施来绕过传统的电子邮件安全过滤器,并且降低用户的警惕性。为了防止此类活动,研究人员提供了以下建议。
要注意社会工程学攻击。用户应该对电子邮件进行仔细的检查,包括检查发件人姓名、发件人电子邮件地址、电子邮件中的语言以及电子邮件中的任何逻辑不一致的地方(例如,为什么电子邮件来自.fr域名?为什么抵押贷款相关的通知会出现在我的工作邮箱中?)
加强密码的安全性。在所有可能的商业和个人账户上部署多因素认证(MFA),不要在多个网站/账户上使用相同的密码,避免使用与公开信息相关的密码(出生日期、周年纪念日等)。
本文翻译自:https://threatpost.com/proofpoint-phish-microsoft-o365-google-logins/176038/如若转载,请注明原文地址。