1 萬名 Microsoft 電子郵件用戶遭受 FedEx 網絡釣魚攻擊
微軟用戶正在收到偽裝成 FedEx 和 DHL 快遞的電子郵件,但這實際上是竊取了他們的憑據。
研究人員警告說,最近針對至少10,000個Microsoft電子郵件用戶的網絡釣魚攻擊,假裝來自受歡迎的郵件快遞公司,包括FedEx和DHL Express。
兩種騙局均以Microsoft電子郵件用戶為目標,并旨在滑動其工作電子郵件帳戶憑據。目標是盜取他們的工作電子郵件賬戶憑證。他們還使用合法域名上的釣魚網頁,包括Quip和Google Firebase上的網頁-允許電子郵件通過內置的安全過濾器滑動,以阻止已知的不良鏈接。
“電子郵件的標題,發件人的姓名和內容足以掩蓋其真實意圖,并使受害者認為電子郵件分別來自FedEx快遞和DHL 快遞,” Armourblox的研究人員周二表示。“通知我們 FedEx 快遞掃描的文件或錯過 DHL 快遞的電子郵件并不少見;大多數用戶往往會對這些電子郵件迅速采取行動,而不是詳細研究它們是否有任何不一致之處。”
FedEx網絡釣魚電子郵件:使用Quip,Google Firebase
欺騙美國跨國遞送服務公司FedEx的網絡釣魚電子郵件的標題為“您有一封新的FedEx發送給您”,并注明了發送電子郵件的日期。
該電子郵件包含一些有關使文檔看起來合法的信息,例如ID,頁數和文檔類型,以及查看假定文檔的鏈接。如果收件人單擊電子郵件,他們將被帶到Quip上托管的文件中。Quip是免費版本,它是Salesforce的工具,提供文檔,電子表格,幻燈片和聊天服務。
FedEx網絡釣魚攻擊的一個示例
研究人員說:“我們觀察到惡意行為者在諸如Google Sites,Box和Quip(在本例中)之類的合法服務上托管網絡釣魚頁面的持續趨勢。” “這些服務大多數都具有免費版本,并且易于使用,這使它們對世界各地的數百萬人都是有益的,但不幸的是,這也降低了網絡犯罪分子發起成功的網絡釣魚攻擊的門檻。”
該頁面包含FedEx徽標,標題為“您已經收到一些傳入的FedEx文件”。然后,它包括一個鏈接,供受害者查看假定的文件。一旦受害者單擊此頁面,他們最終將被帶到類似于Microsoft登錄門戶的網絡釣魚頁面,該門戶位于Google Firebase(由Google開發的用于創建移動和Web應用程序的平臺)上。過去一年中,網絡釣魚攻擊已越來越多地利用Google Firebase來進行檢測。
值得注意的是,如果受害者在頁面上輸入其憑據,則會重新加載登錄門戶,并顯示一條錯誤消息,要求受害者輸入正確的詳細信息。
研究人員說:“這可能指向適當的后端驗證機制,該機制可以檢查輸入細節的真實性。” “或者,攻擊者可能希望獲取盡可能多的電子郵件地址和密碼,并且無論輸入的詳細信息如何,錯誤消息都會不斷出現。”
DHL Express網絡釣魚攻擊:好奇的Adobe登錄提示
另一個活動冒充了德國國際快遞DHL Express,并通過電子郵件告知收件人“您的包裹已到達”,并在標題末尾注明了他們的電子郵件地址。
該電子郵件告訴收件人,由于不正確的遞送詳細信息,無法將包裹遞送給他們-包裹已準備好在郵局領取。
網絡釣魚登錄頁面的示例
電子郵件提示收件人如果要接收交貨,請簽出附件的“裝運單據”。附件是一個HTML文件(標題為“ SHIPPING DOC”),該文件在打開時會預覽一個看起來像運輸文檔的電子表格。
預覽是通過模擬Adobe PDF閱讀器的登錄請求框分層顯示的。研究人員指出,攻擊者可能試圖通過網絡釣魚來獲取Adobe憑據,但更有可能的是,他們試圖獲取受害者的工作電子郵件憑據。
研究人員說:“登錄框中的電子郵件字段已預先填寫了受害者的工作電子郵件。” “攻擊者可以利用受害者的心思,然后再采取行動,并在此框中輸入工作電子郵件密碼,而不必過多關注Adobe品牌。”
與FedEx網絡釣魚攻擊類似,當受害者在此頁面上輸入其詳細信息時,它返回一條錯誤消息。
挖掘COVID-19趨勢
隨著COVID-19的問世,越來越多的人轉向在線平臺來購買商品,雜貨和各種家用配件-而不是親自購買商店-在線運輸已空前高漲。
從最近的網絡釣魚電子郵件中可以看出,網絡罪犯正在利用這一點-但他們還利用了Covid-19救濟金,疫苗推出和個人防護設備(PPE)需求等許多其他常規誘餌。
Armorblox的客戶成功總監Preet Kumar說:“在疫情爆發期間,我們都收到了在線快遞,通常是非接觸式快遞,因此,與FedEx快遞/DHL保持郵件通信現在已經成為我們生活中常見的一部分,”Armorblox的客戶成功總監Preet Kumar說“攻擊者寄希望于受害者相信這封電子郵件的合法性,并在沒有過多考慮的情況下迅速采取行動。”
