[[434134]]

釣魚(yú)攻擊者通過(guò)冒充網(wǎng)絡(luò)安全公司Proofpoint，并試圖竊取受害者的微軟Office 365和谷歌電子郵件的憑證。

據(jù)研究人員稱，他們發(fā)現(xiàn)了一個(gè)針對(duì)某家不知名的全球通信公司的攻擊活動(dòng)，僅在該組織內(nèi)就有近千名員工成為了攻擊目標(biāo)。

他們?cè)谥芩牡囊黄恼轮薪忉屨f(shuō)，電子郵件聲稱這里面包含了一個(gè)Proofpoint發(fā)送的安全文件的鏈接，點(diǎn)擊該鏈接，受害者就會(huì)進(jìn)入到一個(gè)虛假的Proofpoint網(wǎng)站的頁(yè)面，并包含了不同電子郵件服務(wù)商的登錄鏈接。該攻擊還使用了微軟和谷歌的登錄頁(yè)面對(duì)用戶進(jìn)行攻擊。

該電子郵件使用的誘餌是一個(gè)自稱與抵押貸款支付有關(guān)的文件。其主題 "Re: Payoff Request "，這樣是為了更好的欺騙目標(biāo)，使其認(rèn)為這是一個(gè)合法的郵件，同時(shí)也增加了該程序的緊迫感。

根據(jù)分析，在電子郵件標(biāo)題中添加'Re'是我們觀察到的騙子經(jīng)常使用的一種攻擊策略，該符號(hào)意味著當(dāng)前正在進(jìn)行對(duì)話，可能會(huì)使受害者更快地點(diǎn)擊該電子郵件。

如果用戶點(diǎn)擊郵件中嵌入的 "安全的" 電子郵件鏈接，他們就會(huì)被引導(dǎo)到帶有Proofpoint品牌的釣魚(yú)攻擊欺騙頁(yè)面中。

研究人員解釋說(shuō)，點(diǎn)擊谷歌和Office 365的按鈕， 用戶分別會(huì)被引導(dǎo)到谷歌和微軟的釣魚(yú)登錄頁(yè)面。這兩個(gè)頁(yè)面都要求受害者提供電子郵件地址和密碼。

研究人員指出，由于釣魚(yú)網(wǎng)站使用了許多用戶日常生活中經(jīng)常使用的工作流程(即當(dāng)文件通過(guò)云端與他們共享時(shí)收到電子郵件通知)，攻擊者希望用戶不會(huì)對(duì)這些電子郵件有太多的懷疑。

根據(jù)分析，當(dāng)我們看到以前已經(jīng)看過(guò)的電子郵件時(shí)，我們的大腦傾向于采用系統(tǒng)1的思維方式來(lái)思考并盡快采取行動(dòng)。

在基礎(chǔ)設(shè)施方面，這封郵件是從法國(guó)南部的一個(gè)消防部門(mén)中被攻擊的電子郵件賬戶發(fā)出的。研究人員指出，這樣有助于釣魚(yú)網(wǎng)站躲避微軟的本地電子郵件安全過(guò)濾器的檢測(cè)。換句話說(shuō)，它們根本就沒(méi)有被標(biāo)記為垃圾郵件。

此外，這些釣魚(yú)網(wǎng)頁(yè)被托管在 "greenleafproperties[.]co[.]uk "父域名上。

該域名的WhoIs記錄顯示它最后一次更新是在2021年4月，URL目前會(huì)重定向到'cvgproperties[.]co[.]uk'域名上。這個(gè)十分簡(jiǎn)短的網(wǎng)址和可疑的頁(yè)面增加了這個(gè)網(wǎng)站的不合法性。

像這樣的網(wǎng)絡(luò)攻擊會(huì)利用到社會(huì)工程學(xué)、冒充合法的品牌和使用合法的基礎(chǔ)設(shè)施來(lái)繞過(guò)傳統(tǒng)的電子郵件安全過(guò)濾器，并且降低用戶的警惕性。為了防止此類活動(dòng)，研究人員提供了以下建議。

1、要注意社會(huì)工程學(xué)攻擊。用戶應(yīng)該對(duì)電子郵件進(jìn)行仔細(xì)的檢查，包括檢查發(fā)件人姓名、發(fā)件人電子郵件地址、電子郵件中的語(yǔ)言以及電子郵件中的任何邏輯不一致的地方(例如，為什么電子郵件來(lái)自.fr域名?為什么抵押貸款相關(guān)的通知會(huì)出現(xiàn)在我的工作郵箱中?)

2、加強(qiáng)密碼的安全性。在所有可能的商業(yè)和個(gè)人賬戶上部署多因素認(rèn)證(MFA)，不要在多個(gè)網(wǎng)站/賬戶上使用相同的密碼，避免使用與公開(kāi)信息相關(guān)的密碼(出生日期、周年紀(jì)念日等)。

本文翻譯自：https://threatpost.com/proofpoint-phish-microsoft-o365-google-logins/176038/如若轉(zhuǎn)載，請(qǐng)注明原文地址。