网络钓鱼攻击者冒充网络安全公司Proofpoint并试图窃取受害者的MicrosoftOffice365和谷歌电子邮件凭据。据研究人员称,他们发现了针对一家未具名的全球通信公司的攻击活动,仅针对该组织内的近千名员工。他们在周四的一篇文章中解释说,这封电子邮件据称包含一个指向Proofpoint发送的安全文件的链接,当点击该链接时,受害者会将受害者带到一个假冒的Proofpoint网站上的页面,其中包含您的电子邮件提供商的不同登录链接。该攻击还使用Microsoft和Google的登录页面来锁定用户。电子邮件中使用的诱饵是一份声称与抵押贷款付款有关的文件。主题行是“Re:PayoffRequest”,旨在更好地诱骗目标认为这是一封合法的电子邮件,同时也为程序增添了紧迫感。根据我们的分析,在电子邮件标头中添加“Re”是我们观察到的诈骗者经常使用的一种攻击策略,该符号表示当前正在进行对话,可能会导致受害者更快地点击电子邮件。如果用户单击消息中嵌入的“安全”电子邮件链接,他们将被定向到Proofpoint品牌的网络钓鱼攻击欺骗页面。研究人员解释说,单击Google和Office365按钮会将用户分别引导至Google和Microsoft的网络钓鱼登录页面。这两个页面都要求受害者提供他们的电子邮件地址和密码。研究人员指出,由于钓鱼网站使用许多用户在日常生活中使用的工作流程(即在通过云与他们共享文件时收到电子邮件通知),攻击者希望用户不会对这些电子邮件说太多话.怀疑。根据分析,当我们看到以前看过的电子邮件时,我们的大脑倾向于采用系统1思维模式来尽快思考和行动。在基础设施方面,这封电子邮件是从法国南部消防部门的一个被黑的电子邮件帐户发送的。研究人员指出,这有助于钓鱼网站逃避微软本地电子邮件安全过滤器的检测。换句话说,它们根本没有被标记为垃圾邮件。此外,这些网络钓鱼页面托管在“greenleafproperties[.]co[.]uk”父域中。该域的WhoIs记录显示它最后一次更新是在2021年4月,URL当前重定向到“cvgproperties[.]co[.]uk”域。这个非常短的URL和可疑页面增加了该站点的非法性。像这样的网络攻击利用社会工程、冒充合法品牌并使用合法基础设施来绕过传统的电子邮件安全过滤器并降低用户警惕性。为防止此类活动,研究人员提出以下建议。1.注意社会工程攻击。用户应仔细检查电子邮件,包括检查发件人姓名、发件人电子邮件地址、电子邮件中的语言以及电子邮件中的任何逻辑不一致(例如,为什么电子邮件来自.fr域?为什么与抵押相关的通知出现在我的工作邮箱?)2.加强密码安全。在所有可能的企业和个人账户上部署多因素身份验证(MFA),不要在多个站点/账户上使用相同的密码,避免使用与公开信息(出生日期、周年纪念日等)相关的密码。本文翻译自:https://threatpost.com/proofpoint-phish-microsoft-o365-google-logins/176038/如有转载请注明原文地址。
