Schemers Hide Behind SharePoint to Expose Victims to Phishing Scams

Phishing Attack Using SharePoint

我们经常在这些网页上说过,从技术角度来看,网络钓鱼是最简单的网络犯罪形式。即便如此,取消成功的网络钓鱼攻击仍需要做一些准备工作,特别是如果骗子们对他们正在做的事情是认真的。最近,Cofense的Milo Salvia 撰写了关于针对英国金融机构的网络钓鱼攻击的文章,并且必须说,在大多数情况下,它是经过深思熟虑的。

一个令人信服的网络钓鱼电子邮件

这些骗子开始泄露了为独立法律评估师有限公司(ILA)工作的人的电子邮件帐户,该公司是一家提供法律服务的伦敦公司。网络钓鱼电子邮件的签名表明它是由David Philips发送的, 根据LinkedIn的说法 ,他是ILA的主管,但我们应该指出,因为Cofense会修改发件人的地址,我们无法确定谁在法律公司失去控制权他们的电子邮件帐户。

虽然它很短,但电子邮件本身没有通常的拼写错误或语法错误。它的格式很好,再次表明骗子确实想要创造一个令人信服的计划。根据该消息,飞利浦先生正在发送“提案”,目标需要在“进一步安排”之前进行审查。据推测,可以从包含在消息正文中的链接下载所述提议。

该链接包含赛门铁克的点击时间URL保护,这可能是为了让目标放心。毕竟,此服务旨在检查每次用户点击链接时指向的URL,如果出现问题,则应阻止所有流量。但是,链接指向的URL并非恶意。

除了接管ILA电子邮件帐户之外,黑客还破坏了SharePoint协作平台上的配置文件,并使用它来上传OneNote文档。该文件看起来像一个提案,但文本故意模糊。在底部,有一个链接,据称让目标下载该提案的清晰版本。正如您可能想象的那样,它会导致钓鱼页面。

根据Milo Salvia的说法,骗子们破坏了一个合法的网站,以便托管他们的钓鱼网页。但是, 域名上的whois信息表明情况可能并非如此。管理员电子邮件还用于注册几个域 ,看起来好像是专门为域名仿冒而设计的。

网络钓鱼页面的源代码显示,Salvia将被盗的凭据直接通过电子邮件发送到Gmail帐户,研究人员认为,该帐户也受到了网络钓鱼者的攻击。

一个不太令人信服的网络钓鱼页面

在这一点上,看起来我们有一个经过深思熟虑的网络钓鱼攻击. 初始电子邮件来自合法地址,点击时URL保护应该确保目标没有任何问题,并且SharePoint文档进一步将它们推向虚假的安全感。网络钓鱼者真的把它们放回去了,你会发现,鉴于这一切,整个凭证窃取操作将通过尽可能接近原始版本的网页仿冒页面完成。然而,令人惊讶的是,诈骗者并没有对整个攻击的最后,最关键部分感到烦恼。

网络钓鱼门户看起来像是Office365 for Business的登录页面,但Cofense提供的屏幕截图显示它是一种非常便宜的模仿。受害者可以使用Office365凭证或任何其他电子邮件提供商的用户名和密码登录。通常,这样做是为了最大化被盗信息的数量。但是,在这种特殊情况下,任何看过原始登录页面的人都很难相信网络钓鱼门户。事实证明,它实际上是一个名为Blackshop Tools的团体销售的网络钓鱼工具包。鉴于质量低,我们可以想象它是更便宜的选择之一。

虽然攻击的其余部分设计得很好,但显然是假的网络钓鱼页面应该足以警告大多数人。下次他们试图窃取一些登录凭据时,骗子可能会决定使用更高质量的网络钓鱼工具包,这意味着您应该像以前一样小心,即使收件箱中的通信看起来完全合法。

September 13, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
7 + 10是什么?