研究人员警告说,犯罪分子最近通过伪造知名邮件快递公司联邦快递和知名邮件快递,对至少1万名微软电子邮件用户发动了钓鱼攻击DHL快递电子邮件进行犯罪活动。
这两起事件的目的是窃取微软电子邮件用户的工作邮件账户凭证。他们还使用了它们Quip和Google Firebase这些合法域名上的钓鱼页面使钓鱼邮件绕过邮件安全过滤器的扫描。
Armorblox研究人员周二表示:"邮件标题、发件人名称和内容看起来都很真实,让受害者认为这些邮件真的来自联邦快递和DHL快递,我们经常收到联邦快递的扫描文件或DHL大多数用户会非常信任快递的电子邮件,而不会详细研究它们是否可疑。"
使用钓鱼邮件Quip、Google Firebase进行攻击
美国跨国快递服务公司联邦快递伪造的钓鱼邮件的标题是 "你有一个新的联邦快递寄给你",并注明邮件的发送日期。
这封邮件包含了一些文件的基本信息,使其看起来正常。ID、页数和文件类型,以及所谓的查看文件链接。如果收件人打开电子邮件,他们将收到托管Quip上的文件。Quip是Salesforce主要提供文件、电子表格、幻灯片和聊天服务的软件工具。
研究人员说:"我们已经观察到恶意攻击者还会继续Google Sites、Box和Quip(在本案中)在法律服务器上托管钓鱼页面。这些服务大多有免费版本,易于使用,对世界上数百万办公室工作人员非常友好,但不幸的是,这也降低了 *** 犯罪分子发动 *** 钓鱼攻击的门槛。"
这个页面中含有联邦快递的标志,标题为 "你收到了一些联邦快递的货物"。然后,它还包含一个链接,允许受害者查看所谓的文件。一旦受害者点击此页面,他们最终将被引导到一个类似于微软登录入口的钓鱼页面,该页面托管在谷歌Firebase上,Firebase谷歌开发了一个平台来创建移动和 *** 应用程序。在过去的一年里,谷歌Firebase被越来越多的 *** 攻击犯罪分子用来避开系统的安全检测。
值得注意的是,如果受害者在钓鱼页面上输入凭证,它将重新加载登录入口,并提示账户错误信息,并要求受害者输入正确的登录凭证。
研究人员说:"这表明网站可能有一些后端验证机制来检查输入凭证的真实性。另一种情况是,攻击者可能希望获得尽可能多的电子邮件地址和密码,无论用户输入的凭证是否正确,错误的信息都会出现。"
DHL快递钓鱼攻击使用Adobe登录框进行攻击
一个攻击活动冒充德国国际快递公司DHL犯罪分子会通过邮件告诉收件人 "你的包裹到了",并在标题末尾注明他们的电子邮件地址。
邮件内容告诉收件人,由于填写的快递信息不正确,包裹无法交付给他们。然而,包裹实际上已经在邮局等待收件人收到了。
邮件提示收件人,如果您想收 *** 物,请查看附件中的 "运输文件"。附件是一个HTML文件(标题为 "SHIPPING DOC"),打开后,页面看起来像一个发货文件的电子表格。
页面预览中叠加了一个假装Adobe PDF阅读器登录请求框。研究人员指出,攻击者可能想通过钓鱼获得它Adobe事实上,凭证更有可能获得受害者的工作邮箱凭证。
研究人员说:"登录框中的电子邮件字段提前填写了受害者的工作电子邮件。攻击者希望该页面不会引起受害者的怀疑,并尽快将其工作电子邮件密码输入该框。"
类似于联邦快递的钓鱼攻击,当受害者在页面上输入详细信息时,页面会返回错误信息。
犯罪分子利用当前的社会趋势
COVID-19越来越多的人开始转向在电子商务平台上购买商品、杂货和各种家用配件,而不是像以前那样亲自去商店。在此期间,运输业正处于快速发展阶段。
*** 犯罪分子正好利用了这一点。从最近的 *** 钓鱼邮件可以看出,他们还利用了许多其他引导受害者的诱惑,包括COVID-19救援基金、疫苗推广和个人防护设备(PPE)等物质诱导。
Armorblox客户总监Preet Kumar告诉Threatpost:"在流行病期间,我们都在网上交付,这通常是非接触式交付,因此用户与联邦快递/DHL邮件通信在我们的生活中很常见。攻击者通常希望受害者能够信任攻击邮件中的信息,过多考虑邮件的内容。"
本文翻译自:https://threatpost.com/microsoft-fedex-phishing-attack/164143/如果转载,请注明原始地址。