研究人员警告称,犯罪分子最近针对至少 10,000 名微软电子邮件用户发起了网络钓鱼攻击,攻击内容是冒充知名邮件递送公司 FedEx 和 DHL 的电子邮件。
两次攻击均针对微软电子邮件用户,企图窃取他们的工作电子邮件帐户凭据,并使用 Quip 和 Google Firebase 等合法域上的钓鱼页面使钓鱼电子邮件绕过电子邮件安全过滤器。
Armorblox 研究人员周二表示:“电子邮件标题、发件人姓名和内容看起来非常真实,让受害者认为这些电子邮件分别来自 FedEx 和 DHL。我们经常收到 FedEx 的扫描文件或 DHL 的电子邮件,大多数用户都信任这些电子邮件,而不会详细研究它们是否可疑。”
网络钓鱼电子邮件利用 Quip、Google Firebase 进行攻击
这封来自美国跨国快递服务公司FedEx的虚假钓鱼邮件标题为“您有一封新的FedEx要寄给您”,并注明了邮件的发送日期。
该电子邮件包含一些文件的基本信息,使其看起来很正常,例如其 ID、页数和文件类型,以及查看文件的链接。如果收件人打开电子邮件,他们将收到一个托管在 Quip 上的文件,Quip 是 Salesforce 软件中的一个工具,主要提供文档、电子表格、幻灯片和聊天服务。
研究人员表示:“我们观察到恶意行为者继续在合法服务器上托管钓鱼页面,例如 Google Sites、Box 以及本例中的 Quip。这些服务大多数都有免费版本,并且易于使用,这对全球数百万办公室工作人员来说非常棒,但不幸的是,这也使网络犯罪分子更容易发起钓鱼攻击。”
该页面包含 FedEx 徽标和标题“您已收到一些 FedEx 货件”。然后,它包含一个允许受害者查看所谓文件的链接。一旦受害者点击此页面,他们最终会被引导到一个类似于 Microsoft 登录门户的钓鱼页面,该页面托管在 Google Firebase 上,Google Firebase 是 Google 开发的用于创建移动和 Web 应用程序的平台。在过去一年中,网络犯罪分子越来越多地使用 Google Firebase 来逃避安全检测。
值得注意的是,如果受害者在钓鱼页面上输入他们的凭证,它将重新加载登录门户并提示帐户错误消息,要求受害者输入正确的登录凭证。
研究人员表示:“这表明可能存在某种后端验证机制来检查输入凭证的真实性。”“另一种情况是,攻击者可能希望获得尽可能多的电子邮件地址和密码,无论用户输入的凭证是否正确电子邮件客户端软件有哪些,错误消息都会不断出现。”
DHL Express 网络钓鱼攻击利用 Adobe 登录框
在一次活动中,犯罪分子冒充德国国际快递公司 DHL Express,告诉收件人“您的包裹已到达”电子邮件客户端软件有哪些,并在标题末尾附上他们的电子邮件地址。
该邮件告知收件人,由于填写的快递信息不正确,包裹无法送达。但实际上,包裹正在等待收件人到邮局领取。
该邮件提醒收件人,如果想要收到货物,请查看附件中的“装运文件”。附件是一个 HTML 文件(标题为“SHIPPING DOC”),打开后,页面看起来就像是一份装运文件的电子表格。
页面预览上叠加了一个冒充Adobe PDF阅读器的登录请求框。研究人员指出,攻击者可能想利用网络钓鱼来获取Adobe凭证,但更有可能的是攻击者想要获取受害者的工作邮箱凭证。
研究人员表示:“登录框中的电子邮件字段预先填写了受害者的工作电子邮件,攻击者希望这个页面不会引起受害者的怀疑,他们会尽快在这个框中输入他们的工作电子邮件密码。”
与联邦快递网络钓鱼攻击类似,当受害者在此页面输入其详细信息时,页面会返回错误消息。
犯罪分子利用当前的社会趋势
由于新冠疫情导致越来越多的人不再像以前那样亲自去商店,而是转向电子商务平台购买商品、杂货和各种家居配件,运输业在此期间经历了快速发展。
网络犯罪分子正利用这一点。从最近的这些钓鱼邮件中可以看出,他们还对受害者使用了许多其他诱惑,包括物质诱惑,如 COVID-19 救济金、疫苗促销和个人防护设备 (PPE)。
Armorblox 客户总监 Preet Kumar 向 Threatpost 表示:“疫情期间,我们都在进行线上配送,通常都是非接触式配送,因此用户通过电子邮件与 FedEx/DHL 沟通在我们的生活中非常常见,而攻击者通常希望受害者能够信任攻击邮件中的信息,而不要过多考虑邮件的内容。”
