1 万名 Microsoft 电子邮件用户遭受 FedEx 网络钓鱼攻击
微软用户正在收到伪装成 FedEx 和 DHL 快递的电子邮件,但这实际上是窃取了他们的凭据。
研究人员警告说,最近针对至少10,000个Microsoft电子邮件用户的网络钓鱼攻击,假装来自受欢迎的邮件快递公司,包括FedEx和DHL Express。
两种骗局均以Microsoft电子邮件用户为目标,并旨在滑动其工作电子邮件帐户凭据。目标是盗取他们的工作电子邮件账户凭证。他们还使用合法域名上的钓鱼网页,包括Quip和Google Firebase上的网页-允许电子邮件通过内置的安全过滤器滑动,以阻止已知的不良链接。
“电子邮件的标题,发件人的姓名和内容足以掩盖其真实意图,并使受害者认为电子邮件分别来自FedEx快递和DHL 快递,” Armourblox的研究人员周二表示。“通知我们 FedEx 快递扫描的文件或错过 DHL 快递的电子邮件并不少见;大多数用户往往会对这些电子邮件迅速采取行动,而不是详细研究它们是否有任何不一致之处。”
FedEx网络钓鱼电子邮件:使用Quip,Google Firebase
欺骗美国跨国递送服务公司FedEx的网络钓鱼电子邮件的标题为“您有一封新的FedEx发送给您”,并注明了发送电子邮件的日期。
该电子邮件包含一些有关使文档看起来合法的信息,例如ID,页数和文档类型,以及查看假定文档的链接。如果收件人单击电子邮件,他们将被带到Quip上托管的文件中。Quip是免费版本,它是Salesforce的工具,提供文档,电子表格,幻灯片和聊天服务。
FedEx网络钓鱼攻击的一个示例
研究人员说:“我们观察到恶意行为者在诸如Google Sites,Box和Quip(在本例中)之类的合法服务上托管网络钓鱼页面的持续趋势。” “这些服务大多数都具有免费版本,并且易于使用,这使它们对世界各地的数百万人都是有益的,但不幸的是,这也降低了网络犯罪分子发起成功的网络钓鱼攻击的门槛。”
该页面包含FedEx徽标,标题为“您已经收到一些传入的FedEx文件”。然后,它包括一个链接,供受害者查看假定的文件。一旦受害者单击此页面,他们最终将被带到类似于Microsoft登录门户的网络钓鱼页面,该门户位于Google Firebase(由Google开发的用于创建移动和Web应用程序的平台)上。过去一年中,网络钓鱼攻击已越来越多地利用Google Firebase来进行检测。
值得注意的是,如果受害者在页面上输入其凭据,则会重新加载登录门户,并显示一条错误消息,要求受害者输入正确的详细信息。
研究人员说:“这可能指向适当的后端验证机制,该机制可以检查输入细节的真实性。” “或者,攻击者可能希望获取尽可能多的电子邮件地址和密码,并且无论输入的详细信息如何,错误消息都会不断出现。”
DHL Express网络钓鱼攻击:好奇的Adobe登录提示
另一个活动冒充了德国国际快递DHL Express,并通过电子邮件告知收件人“您的包裹已到达”,并在标题末尾注明了他们的电子邮件地址。
该电子邮件告诉收件人,由于不正确的递送详细信息,无法将包裹递送给他们-包裹已准备好在邮局领取。
网络钓鱼登录页面的示例
电子邮件提示收件人如果要接收交货,请签出附件的“装运单据”。附件是一个HTML文件(标题为“ SHIPPING DOC”),该文件在打开时会预览一个看起来像运输文档的电子表格。
预览是通过模拟Adobe PDF阅读器的登录请求框分层显示的。研究人员指出,攻击者可能试图通过网络钓鱼来获取Adobe凭据,但更有可能的是,他们试图获取受害者的工作电子邮件凭据。
研究人员说:“登录框中的电子邮件字段已预先填写了受害者的工作电子邮件。” “攻击者可以利用受害者的心思,然后再采取行动,并在此框中输入工作电子邮件密码,而不必过多关注Adobe品牌。”
与FedEx网络钓鱼攻击类似,当受害者在此页面上输入其详细信息时,它返回一条错误消息。
挖掘COVID-19趋势
随着COVID-19的问世,越来越多的人转向在线平台来购买商品,杂货和各种家用配件-而不是亲自购买商店-在线运输已空前高涨。
从最近的网络钓鱼电子邮件中可以看出,网络罪犯正在利用这一点-但他们还利用了Covid-19救济金,疫苗推出和个人防护设备(PPE)需求等许多其他常规诱饵。
Armorblox的客户成功总监Preet Kumar说:“在疫情爆发期间,我们都收到了在线快递,通常是非接触式快递,因此,与FedEx快递/DHL保持邮件通信现在已经成为我们生活中常见的一部分,”Armorblox的客户成功总监Preet Kumar说“攻击者寄希望于受害者相信这封电子邮件的合法性,并在没有过多考虑的情况下迅速采取行动。”
