黑客嘗試使用聰明的Google Drive騙局竊取Microsoft帳戶登錄數據
一些登錄憑據比其他登錄憑據更有價值,並且毫不奇怪,針對重要帳戶的網絡釣魚攻擊往往更加複雜和經過深思熟慮。今年1月,來自Check Point的研究人員偶然發現了一個網絡釣魚活動,他們只是在周二才寫過這樣的內容,他們向我們展示了檢測精心設計的攻擊有多麼困難。
Table of Contents
詐騙者試圖通過聰明的網絡釣魚攻擊來竊取用戶的Office 365憑據
電子郵件已發送給使用Office 365的組織的員工。首先,該消息會將受害者重定向到包含鏈接的雲託管PDF文件,該文件可能導致員工感興趣的共享文檔。鏈接重定向至看起來像一個要求用戶登錄的SharePoint登錄頁面。他們可以使用Office 365憑據或組織ID進行登錄。無論他們選擇哪個選項,都會出現一個帶有令人信服的Microsoft登錄表單的彈出窗口,他們輸入的任何信息都將直接發送給騙子。
如果查看Check Point的屏幕截圖,您會發現無處可見我們經常與網絡釣魚攻擊相關的語法和拼寫錯誤。格式與原始格式幾乎完全相同,並且在整個操作過程中,用戶可能很容易被愚弄,因為他們真的要登錄其Microsoft帳戶。更重要的是,一旦他們輸入了登錄憑據,它們就會被重定向到來自全球諮詢公司的真實報告,這將使一切變得更加可信。這並不是使這次攻擊與眾不同的唯一原因。
網絡釣魚者廣泛使用Google的雲服務
受害者看到的第一個PDF託管在Google雲端硬盤上。它鏈接到的模擬SharePoint頁面也已上傳到Google的雲託管服務,惡意登錄表單本身也已上傳。
顯然,看到由Google擁有的基礎設施託管的Microsoft登錄頁面是不正常的,但是詐騙者知道很少有用戶在輸入登錄憑據時會特別注意地址欄。他們還知道,如果這樣做的人看到自己認可的領域,那麼他們就不太可能變得可疑。
通過使用Google的服務,網絡釣魚者還可以避免對自動化工具和監視員工活動的系統管理員進行仔細檢查。總而言之,使用Google的雲使攻擊更有可能成功。
這次攻擊是由一群經驗豐富的網絡釣魚者組織的
考慮到他們有多少經驗,網絡釣魚者所表現出的複雜程度並不令人驚訝。發現攻擊後不久,研究人員通知了Google,並刪除了惡意頁面。但是,在下線之前,Check Point的專家對源代碼進行了梳理,並註意到,儘管頁面託管在Google的雲中,但是大部分資源都是從外部域prvtsmtp [。] com加載的。
域指向的是已在許多網絡釣魚活動中使用的烏克蘭服務器。首先,它自己託管惡意頁面,後來成為利用Microsoft的Azure雲服務的攻擊過程中基礎結構的一部分。
Check Point的研究人員幫助結束了他們在一月份發現的攻擊,但是他們不太可能阻止有經驗的網絡釣魚者永遠站在那裡。只有時間才能證明網絡罪犯的下一步行動。同時,全球各地的員工在輸入登錄憑據的時間和地點時都需要格外小心。