iCalendar 被利用，攻擊者發布基于日歷的網絡釣魚活動竊取用戶信息

研究人員再次發現騙子利用日歷邀請發起網絡釣魚攻擊。上周， Cofense Phishing 防御中心發現該攻擊存在于受Proofpoint和微軟保護的企業電子郵件環境中。

iCalendar是一種媒體類型，它允許用戶存儲并交換日歷和日程安排信息，這些信息包括事件和任務。通常已.ics擴展名來發布。攻擊者使用該文件，并將主題命名為“來自消息中心的故障檢測”，發件人的名稱為Walker。它來自屬于學區的一個合法賬戶，這表明攻擊者使用的是一封泄露的電子郵件。這使得他們能夠繞過依賴DKIM和SPF技術來認證發送域的電子郵件過濾器。

當受害者打開.ics文件時，它給出了一個顯示網址的日歷條目，以及它來自安全中心的一條消息。網址后面的網頁托管在微軟的SharePoint網站上，并顯示了另一個指向谷歌托管的釣魚網站的鏈接，該鏈接似乎顯示了Wells Fargo的登錄頁面。

受害者必須提交他們的登錄信息、個人識別碼和賬號，以及他們的電子郵件憑證。這樣做給了攻擊者領域的鑰匙。網絡釣魚網站會將它們發送到合法的Wells Fargo網站，以消除任何懷疑。

這可能是一個新的形式，但不是新的技術。去年6月，當Kaspersky發現攻擊者使用谷歌的自動添加功能時，類似的攻擊突然出現。在那次攻擊中，智能手機用戶將會看到一個彈出邀請，此邀請會顯示一個網絡釣魚網址的鏈接，詢問他們的信用卡數據和個人信息。

這次攻擊表明，網絡騙子仍然在使用相同的攻擊媒介來傳遞他們的詐騙材料。Cofense還指出，使用合法域名托管用戶內容是一種常見的策略，對于微軟和谷歌這樣的公司來說，這是一個長期存在的問題。這給了攻擊者一種合法的方式，因為他們可以利用這些網站的內置SSL證書，在瀏覽器地址欄的URL旁邊添加令人放心的綠色掛鎖圖標。