iCalendar 被利用，攻击者发布基于日历的网络钓鱼活动窃取用户信息

研究人员再次发现骗子利用日历邀请发起网络钓鱼攻击。上周， Cofense Phishing 防御中心发现该攻击存在于受Proofpoint和微软保护的企业电子邮件环境中。

iCalendar是一种媒体类型，它允许用户存储并交换日历和日程安排信息，这些信息包括事件和任务。通常已.ics扩展名来发布。攻击者使用该文件，并将主题命名为“来自消息中心的故障检测”，发件人的名称为Walker。它来自属于学区的一个合法账户，这表明攻击者使用的是一封泄露的电子邮件。这使得他们能够绕过依赖DKIM和SPF技术来认证发送域的电子邮件过滤器。

当受害者打开.ics文件时，它给出了一个显示网址的日历条目，以及它来自安全中心的一条消息。网址后面的网页托管在微软的SharePoint网站上，并显示了另一个指向谷歌托管的钓鱼网站的链接，该链接似乎显示了Wells Fargo的登录页面。

受害者必须提交他们的登录信息、个人识别码和账号，以及他们的电子邮件凭证。这样做给了攻击者领域的钥匙。网络钓鱼网站会将它们发送到合法的Wells Fargo网站，以消除任何怀疑。

这可能是一个新的形式，但不是新的技术。去年6月，当Kaspersky发现攻击者使用谷歌的自动添加功能时，类似的攻击突然出现。在那次攻击中，智能手机用户将会看到一个弹出邀请，此邀请会显示一个网络钓鱼网址的链接，询问他们的信用卡数据和个人信息。

这次攻击表明，网络骗子仍然在使用相同的攻击媒介来传递他们的诈骗材料。Cofense还指出，使用合法域名托管用户内容是一种常见的策略，对于微软和谷歌这样的公司来说，这是一个长期存在的问题。这给了攻击者一种合法的方式，因为他们可以利用这些网站的内置SSL证书，在浏览器地址栏的URL旁边添加令人放心的绿色挂锁图标。