冒充美國銀行的郵件攻擊出現,目的是竊取網上銀行憑證
6月份的活動是有針對性的,目的是竊取網上銀行憑證。
本月,美國出現了一種依靠冒充美國銀行(Bank of America)進行憑證仿冒的嘗試,郵件繞過安全網關保護,并受到DMARC等重攻擊保護。
該活動包括要求收件人更新電子郵件地址的電子郵件,警告用戶如果不這樣做,他們的帳戶可能被回收。
根據Armorblox的分析,“電子郵件的語言和主題是為了引起讀者由于它的財務性質導致的緊迫感。” “要求讀者更新他們銀行的電子郵件帳戶,以免其被回收,這是一個強大的激勵因素,任何人都可以單擊該URL并繼續。”
研究人員說,這些信息包含一個鏈接,該鏈接旨在引導訪問者訪問某個網站以更新其信息,但單擊該鏈接只會將收件人帶到一個憑證仿冒頁面,該頁面與合法的美國銀行主頁非常相似。
研究人員在一篇文章中說,該攻擊流還包括一個頁面,該頁面向讀者詢問他們的“安全挑戰問題”,這既是為了提高合法性,也是為了從目標獲得進一步的識別信息。
Armorblox的聯合創始人兼架構師Chetan Anand說:“隨著單點登錄(SSO)和雙因素身份驗證(2FA)在各組織中的實施,對手現在正在制造能夠繞過這些措施的電子郵件攻擊。”
“這種憑證仿冒攻擊就是一個很好的例子。首先,它仿冒美國銀行的憑證,這些憑證可能不包括在公司SSO政策中。其次,它還仿冒安全挑戰問題的答案,這通常用作第二種附加的身份驗證形式。提出安全挑戰問題不僅增加了攻擊的合法性,還為對手提供了有關其目標的重要個人信息。”
更有趣的是,這些電子郵件在某些情況下能夠通過現有的電子郵件安全控制,因為它們不遵循更傳統的網絡釣魚攻擊模式。
例如,據該公司稱,這項活動雖然使用了經典的“spray-and-pray”誘餌,但并不是一項大規模的電子郵件活動。在檢查其中一封郵件時,研究人員注意到“這不是一封大批量的郵件,只有目標組織中的少數人收到,”他們寫道。“這確保電子郵件不會被本機Microsoft電子郵件安全或安全電子郵件網關(SEG)提供的批量電子郵件篩選器捕獲。”
Anand說,“我們正在努力確定客戶群之外的影響范圍,但像過去這樣的活動在攻擊范圍上相當廣泛,因為內容是通用的,足以跨越組織和行業垂直領域。在我們的客戶群中,這不是一封群發郵件,也不是一封郵件。一些重要的貴賓或VAP(非常受攻擊的人)收到了電子郵件。”
此外,他們檢查的電子郵件能夠通過常見的身份驗證檢查,如DMARC。DMARC(代表基于域的消息身份驗證、報告和一致性)是一個行業標準,用于標記電子郵件頭中“發件人”字段被篡改的消息。它確保電子郵件在到達用戶郵箱之前經過身份驗證,并確認它們是從合法來源發送的。如果配置正確,則可以在網關上停止潛在的仿冒電子郵件,或重定向到垃圾郵件文件夾。
“雖然發件人姓名——美國銀行——是冒充的,但電子郵件是通過SendGrid從個人雅虎賬戶發送的。研究人員解釋說:“這使得電子郵件成功地通過了所有身份驗證檢查,如SPF[發件人策略框架]、DKIM[域密鑰標識郵件]和DMARC。”
“DMARC是有用的,但有一些關鍵的差距,”Anand說。
他說:“首先,DMARC主要是為了防止直接域欺騙(事實并非如此)。“其次,為了保護使用DMARC的組織,所有用于與員工通信的域都應該啟用DMARC(這在今天是不可能的)。從合法域(Gmail、Yahoo)發送的電子郵件,雖然不是直接的域欺騙,但很有可能通過DMARC。”
攻擊者還使用了一個全新的、以前從未使用過的URL來設置他們的釣魚網站。因為該頁面托管在一個新域上,所以它能夠通過為阻止已知的錯誤鏈接而創建的任何篩選器。
此外,據該公司稱,這種努力比通常在此類攻擊中看到的表現出更好的社會工程學。例如,研究人員解釋說,最終的憑證仿冒頁面是“精心制作的,類似于美國銀行的登錄頁面”。
Anand 說:“這次襲擊中涉及的波蘭人的水平值得注意。“這些釣魚網站一眼看上去就像美國銀行(Bank of America)的網頁。這次攻擊的另一個復雜跡象是,攻擊者也向目標詢問其安全挑戰問題。如果攻擊者成功獲取任何此類答案,他們可能會強行進入涉及安全挑戰問題的其他帳戶(因為這些問題在應用程序中很常見)。”
