据BleepingComputer网站报道,一些钓鱼攻击者冒充美国大学网站的登录页面,骗取学生和教职员工的Office365账户密码。据信,网络钓鱼活动始于今年10月,涉及多名攻击者。安全机构Proofpoint分享了有关网络钓鱼攻击中使用的策略、技术和程序(TTP)的详细信息。根据Proofpoint分享的URL,多所美国高校遭到攻击,包括CUMO、范德比尔特大学、阿肯色州立大学、普渡大学、奥本大学、西弗吉尼亚大学和威斯康星大学奥什科什分校。这些网络钓鱼活动从一封电子邮件开始,攻击者利用大流行环境的焦虑,伪装成有关最新Omicron变体、COVID-19测试结果等的信息,受害者点击电子邮件,将他们引导至一个虚假的学校网站攻击者制作的登录页面。带有HTM附件的钓鱼邮件,来源:Proofpoint根据已发布的样本,这些虚假页面可以称为真实页面的克隆。它们不仅看起来几乎相同,而且URL还使用相似的命名模式,例如教育机构使用的.edu后缀。虚假大学网站登录页面,来源:ProofpointHTM附件在最近的网络钓鱼活动中被频繁使用,以允许攻击者偷偷在目标设备上安装恶意软件。但在这一系列针对美国大学的攻击中,HTM包含指向可能窃取凭据的网站的链接。有时这些网站会是合法的WordPress网站,刚刚被黑客攻击并被攻击者使用,以便安全软件或电子邮件保护工具不会在受害者登录时发出警报。为了绕过MFA(多因素身份验证)保护在目标大学的登录页面上,攻击者还创建了欺骗双MFA页面的虚假页面,以欺骗发送给受害者的手机验证码。一旦完成,攻击者就可以成功控制受害者的账户。攻击者获取受害者的Office365账号后,可以访问对应的邮箱账号,向他人发送邮件,进行进一步的钓鱼。此外,攻击者还可以访问关联的OneDrive和SharePoint文件夹中的敏感个人信息,从而引发勒索危机。由于HTM文件需要在浏览器中打开,从技术上讲,即使最后没有被骗,从点击的那一刻起就已经存在安全隐患。未知邮件直接删除。参考来源:https://www.bleepingcomputer.com/news/security/us-universities-targeted-by-office-365-phishing-attacks/
