攻击者在为期两天的网络钓鱼攻击中伪装成DoT从法律上讲,他们还创建了假的联邦网站域名以逃避安全检测。在8月16日至18日期间,研究人员发现了41封网络钓鱼电子邮件,这些电子邮件使用国会最近通过的1万亿美元基础设施一揽子计划中的项目投标作为诱饵。该活动针对可能与美国交通部合作的工程、能源和建筑等行业的公司,并向潜在受害者发送诈骗电子邮件,告知他们美国交通部正在邀请他们通过单击提交部门项目的投标一个巨大的蓝色按钮,上面写着“点击这里出价”。这些电子邮件是从亚马逊于8月16日注册的域名transportationgov[.net]发送的。根据其创建日期,该网站似乎是专门为网络钓鱼活动而设立的。对于那些熟悉通常带有.gov后缀的政府网站的人来说,在这方面域名可能显得可疑。然而,对于习惯快速浏览的人来说,这个域可能看起来像一个合法的网站。欺骗受害者如果人们单击该链接,他们将被引导至transportation.gov.bidprocure.secure.akjackpot[.com]网站,该网站具有看似合法的子域,例如“transportation”、“gov”和“secure”。然而,该网站的基础域名akjackpot[.]com实际上是在2019年注册的,可能正在运营一个马来西亚在线赌场网站。该网站已被劫持,或者该网站的所有者本身就是网络钓鱼者,使用它来冒充FTC。一旦进入虚假投标网站,用户就会被指示点击“投标”按钮并使用他们的电子邮件提供商登录。它还指示他们联系另一个假域名的所有者,mike.reynolds@transportationgov[.]us,如果他们有任何问题。一旦受害者关闭指令,他们就会被引导到一个与真实的美国交通部网站非常相似的网站,攻击者将政府网站的HTML和CSS复制到他们的主机上。骗局完成后,威胁者还复制粘贴了如何验证美国政府网站真实性的警告,提醒受害者上当受骗,因为他们意识到这个钓鱼网站的域名以.com结尾,而不是.gov或.mil。一旦进入假冒的美国交通部网站,受害者就会被邀请点击“点击这里出价”按钮,然后会出现一张凭证收集表格,上面有微软的标志和“用你的电子邮件提供商登录”的说明。ReCAPTCHA验证是在第一次尝试输入凭据时遇到的,合法网站通常将其用作网站的安全组件。但是,此时攻击者已经获得了凭据。如果受害者再次尝试输入凭据,则会出现一条错误消息,并将他们定向到真实的美国交通部网站,网络钓鱼者通常将其作为最后一步执行。逃避设备检测虽然攻击者在他们的活动中没有使用任何新的网络钓鱼技术,但正是这种新模式的战术组合使他们能够绕过安全电子邮件网关来执行攻击。创建一个新的域名,巧用时事,冒充知名组织,就可以发起窃取凭证攻击,这些钓鱼攻击者想出了一个区别于所有已知攻击的攻击方法,非常好避免使用标准测试方法。使用新创建的域名可以让非法钓鱼邮件通过标准的邮件身份验证,如SPF、DKIM和DMARC。由于它们的攻击域等是全新的,它们以前从未出现过,也从未出现在传统反钓鱼工具引用的威胁情报中。而且这些网站看起来并不恶意,人们很容易上当。本文翻译自:https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/如有转载请注明原文地址。
