Schemers Hide Behind SharePoint to Expose Victims to Phishing Scams

Phishing Attack Using SharePoint

我們經常在這些網頁上說過,從技術角度來看,網絡釣魚是最簡單的網絡犯罪形式。即便如此,取消成功的網絡釣魚攻擊仍需要做一些準備工作,特別是如果騙子們對他們正在做的事情是認真的。最近,Cofense的Milo Salvia 撰寫了關於針對英國金融機構的網絡釣魚攻擊的文章,並且必須說,在大多數情況下,它是經過深思熟慮的。

一個令人信服的網絡釣魚電子郵件

這些騙子開始洩露了為獨立法律評估師有限公司(ILA)工作的人的電子郵件帳戶,該公司是一家提供法律服務的倫敦公司。網絡釣魚電子郵件的簽名表明它是由David Philips發送的, 據LinkedIn稱 ,他是ILA的主管,但我們應該指出,因為Cofense會修改發件人的地址,我們無法確定誰在法律公司失去控制權他們的電子郵件帳戶。

雖然它很短,但電子郵件本身沒有通常的拼寫錯誤或語法錯誤。它的格式很好,再次表明騙子確實想要創造一個令人信服的計劃。根據該消息,飛利浦先生正在發送“提案”,目標需要在“進一步安排”之前進行審查。據推測,可以從包含在消息正文中的鏈接下載所述提議。

該鏈接包含賽門鐵克的點擊時間URL保護,這可能是為了讓目標放心。畢竟,此服務旨在檢查每次用戶點擊鏈接時指向的URL,如果出現問題,則應阻止所有流量。但是,鏈接指向的URL並非惡意。

除了接管ILA電子郵件帳戶之外,黑客還破壞了SharePoint協作平台上的配置文件,並使用它來上傳OneNote文檔。該文件看起來像一個提案,但文本故意模糊。在底部,有一個鏈接,據稱讓目標下載該提案的清晰版本。正如您可能想像的那樣,它會導致釣魚頁面。

根據Milo Salvia的說法,騙子們破壞了一個合法的網站,以便託管他們的網絡釣魚頁面。但是, 域名上的whois信息表明情況可能並非如此。管理員電子郵件還用於註冊幾個域 ,看起來好像是專門為域名仿冒而設計的。

網絡釣魚頁面的源代碼顯示,Salvia將被盜的憑據直接通過電子郵件發送到Gmail帳戶,研究人員認為,該帳戶也受到了網絡釣魚者的攻擊。

一個不太令人信服的網絡釣魚頁面

在這一點上,看起來我們有一個經過深思熟慮的網絡釣魚攻擊. 初始電子郵件來自合法地址,點擊時URL保護應該確保目標沒有任何問題,並且SharePoint文檔進一步將它們推向虛假的安全感。網絡釣魚者真的把它們放回去了,你會發現,鑑於這一切,整個憑證竊取操作將通過盡可能接近原始版本的網頁仿冒頁面完成。然而,令人驚訝的是,詐騙者並沒有對整個攻擊的最後,最關鍵部分感到煩惱。

網絡釣魚門戶看起來像是Office365 for Business的登錄頁面,但Cofense提供的屏幕截圖顯示它是一種非常便宜的模仿。受害者可以使用Office365憑證或任何其他電子郵件提供商的用戶名和密碼登錄。通常,這樣做是為了最大化被盜信息的數量。但是,在這種特殊情況下,任何看過原始登錄頁面的人都很難相信網絡釣魚門戶。事實證明,它實際上是一個名為Blackshop Tools的團體銷售的網絡釣魚工具包。鑑於質量低,我們可以想像它是更便宜的選擇之一。

雖然攻擊的其餘部分設計得很好,但顯然是假的網絡釣魚頁面應該足以警告大多數人。下次他們試圖竊取一些登錄憑據時,騙子可能會決定使用更高質量的網絡釣魚工具包,這意味著您應該像以前一樣小心,即使收件箱中的通信看起來完全合法。

September 13, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 3是什麼?