当前位置: 首页 > 科技观察

1万名微软电子邮件用户受到了伪造成联邦快递的钓鱼攻击

时间:2023-03-13 22:20:16 科技观察

10000名微软邮箱用户遭受钓鱼攻击,假冒FedEx联邦快递和DHL快递邮箱进行犯罪活动。这两起事件都针对Microsoft电子邮件用户,目的是窃取他们的工作电子邮件帐户凭据。他们还使用来自Quip和GoogleFirebase等合法域的网络钓鱼页面,允许网络钓鱼电子邮件绕过电子邮件安全过滤器。Armorblox研究人员周二表示:“邮件标题、发件人姓名和内容看起来都非常真实,让受害者认为这些邮件真的分别来自FedEx和DHLExpress。我们经常收到FedExScan文档或DHL快递发送的电子邮件,大多数用户将信任这些电子邮件,不会详细研究它们是否可疑。”网络钓鱼电子邮件使用Quip、GoogleFirebase来攻击来自美国跨国快递服务的虚假消息来自FedEx公司的网络钓鱼电子邮件的主题行是“YouhaveanewFedExshippingtoyou”,并包含电子邮件的发送日期。这封电子邮件包含有关文件的一些基本信息,使其看起来正常。例如其ID、页码和文件类型等,并包含一个所谓的查看文件的链接。如果收件人打开电子邮件,他们会收到一个文件托管在Quip上。Quip是Salesforce软件中的一个工具,主要提供文档、电子表格、演示文稿和聊天服务。“我们观察到恶意行为者继续在合法服务器上托管网络钓鱼页面,例如GoogleSites、Box和(在这种情况下)俏皮话。这些服务中的大多数都有免费版本并且易于使用。非常适合全球数百万办公室工作人员,但不幸的是,它也降低了网络犯罪分子发起网络钓鱼攻击的门槛。允许受害者查看所谓的文件。一旦受害者点击此页面,他们最终将被引导至类似于Microsoft登录条目的网络钓鱼页面,该页面托管在GoogleFirebase上,Google用于创建移动和Web应用程序的平台。年以来,GoogleFirebase越来越多地被网络犯罪分子用来逃避系统安全检测。值得注意的是,如果受害者在网络钓鱼页面上输入了他们的凭据,它将重新加载登录门户并显示一条错误消息,要求受害者输入正确的登录凭据。“这表明网站可能有一些后端验证机制来检查输入凭据的真实性,或者攻击者可能希望获得尽可能多的电子邮件地址和密码,而不考虑用户输入,”研究人员说。凭据是否正确,总会出现错误信息。”DHL快递钓鱼攻击利用Adobe登录框进行攻击,一次攻击活动会冒充德国国际快递公司DHLExpress,犯罪分子会通过邮件告诉收件人“您的包裹已到达。”,并在主题行末尾包含他们的电子邮件地址。邮件内容告诉收件人包裹无法投递给他们,因为填写的快递信息有误。然而,包裹实际上已经在邮局等待收件人领取。此邮件提醒收件人,如需收货,请查看附件中的“发货单据”。附件是一个HTML文件(标题为“SHIPPINGDOC”),打开后,它看起来像装运单据的电子表格。冒充Adob??ePDF阅读器的登录请求框叠加在页面预览上。研究人员指出,攻击者有可能试图通过网络钓鱼获取Adob??e凭据,但更有可能是他们试图获取受害者的工作电子邮件凭据。“登录框中的电子邮件字段预先填写了受害者的工作电子邮件,攻击者希望此页面不会引起受害者的怀疑,尽快将他们的工作电子邮件密码输入此框,”研究人员说。与FedEx网络钓鱼攻击类似,当受害者在此页面上输入他们的详细信息时,该页面会返回一条错误消息。犯罪分子正在利用当前的社会趋势COVID-19导致越来越多的人转向电子商务平台购买商品、杂货和各种家居用品,而不是像以前那样去商店亲自购买。正处于高速发展阶段。网络罪犯利用了这一点。从最近的这些网络钓鱼电子邮件中可以看出,他们还利用许多其他诱因诱骗受害者,包括COVID-19救济金、疫苗促销和个人防护设备(PPE)等物质诱因。Armorblox的客户总监PreetKumar告诉Threatpost:“在大流行期间,我们都在做在线交付,通常是非接触式的,因此用户与FedEx/DHL的电子邮件通信在我们的生活中非常普遍,攻击者普遍希望受害者可以相信攻击邮件中的信息,不必过多考虑邮件内容。”本文翻译自:https://threatpost.com/microsoft-fedex-phishing-attack/164143/如有转载,请注明原地址。