策劃者隱藏在SharePoint後面，以使受害者遭受網上誘騙

我們經常在這些網頁上說過，從技術角度來看，網絡釣魚是最簡單的網絡犯罪形式。即便如此，取消成功的網絡釣魚攻擊仍需要做一些準備工作，特別是如果騙子們對他們正在做的事情是認真的。最近，Cofense的Milo Salvia 撰寫了關於針對英國金融機構的網絡釣魚攻擊的文章，並且必須說，在大多數情況下，它是經過深思熟慮的。

一個令人信服的網絡釣魚電子郵件

這些騙子開始洩露了為獨立法律評估師有限公司（ILA）工作的人的電子郵件帳戶，該公司是一家提供法律服務的倫敦公司。網絡釣魚電子郵件的簽名表明它是由David Philips發送的， 據LinkedIn稱 ，他是ILA的主管，但我們應該指出，因為Cofense會修改發件人的地址，我們無法確定誰在法律公司失去控制權他們的電子郵件帳戶。

雖然它很短，但電子郵件本身沒有通常的拼寫錯誤或語法錯誤。它的格式很好，再次表明騙子確實想要創造一個令人信服的計劃。根據該消息，飛利浦先生正在發送“提案”，目標需要在“進一步安排”之前進行審查。據推測，可以從包含在消息正文中的鏈接下載所述提議。

該鏈接包含賽門鐵克的點擊時間URL保護，這可能是為了讓目標放心。畢竟，此服務旨在檢查每次用戶點擊鏈接時指向的URL，如果出現問題，則應阻止所有流量。但是，鏈接指向的URL並非惡意。

除了接管ILA電子郵件帳戶之外，黑客還破壞了SharePoint協作平台上的配置文件，並使用它來上傳OneNote文檔。該文件看起來像一個提案，但文本故意模糊。在底部，有一個鏈接，據稱讓目標下載該提案的清晰版本。正如您可能想像的那樣，它會導致釣魚頁面。

根據Milo Salvia的說法，騙子們破壞了一個合法的網站，以便託管他們的網絡釣魚頁面。但是， 域名上的whois信息表明情況可能並非如此。管理員電子郵件還用於註冊幾個域 ，看起來好像是專門為域名仿冒而設計的。

網絡釣魚頁面的源代碼顯示，Salvia將被盜的憑據直接通過電子郵件發送到Gmail帳戶，研究人員認為，該帳戶也受到了網絡釣魚者的攻擊。

一個不太令人信服的網絡釣魚頁面

在這一點上，看起來我們有一個經過深思熟慮的網絡釣魚攻擊. 初始電子郵件來自合法地址，點擊時URL保護應該確保目標沒有任何問題，並且SharePoint文檔進一步將它們推向虛假的安全感。網絡釣魚者真的把它們放回去了，你會發現，鑑於這一切，整個憑證竊取操作將通過盡可能接近原始版本的網頁仿冒頁面完成。然而，令人驚訝的是，詐騙者並沒有對整個攻擊的最後，最關鍵部分感到煩惱。

網絡釣魚門戶看起來像是Office365 for Business的登錄頁面，但Cofense提供的屏幕截圖顯示它是一種非常便宜的模仿。受害者可以使用Office365憑證或任何其他電子郵件提供商的用戶名和密碼登錄。通常，這樣做是為了最大化被盜信息的數量。但是，在這種特殊情況下，任何看過原始登錄頁面的人都很難相信網絡釣魚門戶。事實證明，它實際上是一個名為Blackshop Tools的團體銷售的網絡釣魚工具包。鑑於質量低，我們可以想像它是更便宜的選擇之一。

雖然攻擊的其餘部分設計得很好，但顯然是假的網絡釣魚頁面應該足以警告大多數人。下次他們試圖竊取一些登錄憑據時，騙子可能會決定使用更高質量的網絡釣魚工具包，這意味著您應該像以前一樣小心，即使收件箱中的通信看起來完全合法。