辉瑞公司因其生产mRNACOVID-19疫苗而成为网络钓鱼攻击者的热门冒充目标。最近,根据INKY的一份新报告,一场网络钓鱼电子邮件活动于2021年8月15日左右开始,冒充辉瑞公司试图从受害者那里窃取商业和财务信息。此网络钓鱼活动背后的参与者在他们的网络钓鱼活动中非常“勤奋”,将“干净”的PDF附件与新注册的虚假辉瑞域(这些新注册域的URL看起来非常像辉瑞官方网站)结合在一起。攻击者使用的假域名是:pfizer-nl[.]com、pfizer-bv[.]org、pfizerhtlinc[.]xyz、pfizertenders[.]xyz,它们是通过Namecheap注册的,接受加密货币作为支付方式这允许买家保持匿名。攻击者利用钓鱼域名生成的邮箱账号发送钓鱼邮件,绕过企业常用的邮件防护方案。这些钓鱼邮件的主题通常涉及紧急报价、标书和工业设备供应,如图1所示。在INKY分析师看到的400封钓鱼邮件样本中,攻击者使用看起来很专业的3页PDF文档来进行攻击。讨论到期日、付款条件以及与合法报价请求相关的其他详细信息。图1:网络钓鱼电子邮件示例(来源:INKY)此PDF文档不包含会被电子邮件安全工具检测和标记的恶意软件投放链接或网络钓鱼URL,甚至不包含网络钓鱼电子邮件中常见的拼写错误。但是,收件人需要将他们的报价发送到虚假的辉瑞域电子邮件地址,例如quote@pfizerbvl[.]com或quote@pfizersupplychain[.]com。虽然此网络钓鱼活动的确切目标尚不清楚,但PDF文档包含付款条款这一事实表明,攻击者可能会在某个时候要求收件人进一步分享他们的银行详细信息。如果收件人提供了付款信息,攻击者可能会在未来针对目标用户的其他BEC活动中使用它。此外,由于攻击者不会在第一次联系时询问个人详细信息,这大大降低了接收者的警惕性。回复这些网络钓鱼电子邮件只会将受害者进一步推入骗局,因为他们认为他们有希望与一家信誉良好的公司达成有利可图的交易。安全专家指出,当收到此类包含异常投标要求的邮件时,应拨打对方公司的固定电话,与相关联系人核实,以确保安全。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
