冒充美国银行的邮件攻击出现,目的是窃取网上银行凭证
6月份的活动是有针对性的,目的是窃取网上银行凭证。
本月,美国出现了一种依靠冒充美国银行(Bank of America)进行凭证仿冒的尝试,邮件绕过安全网关保护,并受到DMARC等重攻击保护。
该活动包括要求收件人更新电子邮件地址的电子邮件,警告用户如果不这样做,他们的帐户可能被回收。
根据Armorblox的分析,“电子邮件的语言和主题是为了引起读者由于它的财务性质导致的紧迫感。” “要求读者更新他们银行的电子邮件帐户,以免其被回收,这是一个强大的激励因素,任何人都可以单击该URL并继续。”
研究人员说,这些信息包含一个链接,该链接旨在引导访问者访问某个网站以更新其信息,但单击该链接只会将收件人带到一个凭证仿冒页面,该页面与合法的美国银行主页非常相似。
研究人员在一篇文章中说,该攻击流还包括一个页面,该页面向读者询问他们的“安全挑战问题”,这既是为了提高合法性,也是为了从目标获得进一步的识别信息。
Armorblox的联合创始人兼架构师Chetan Anand说:“随着单点登录(SSO)和双因素身份验证(2FA)在各组织中的实施,对手现在正在制造能够绕过这些措施的电子邮件攻击。”
“这种凭证仿冒攻击就是一个很好的例子。首先,它仿冒美国银行的凭证,这些凭证可能不包括在公司SSO政策中。其次,它还仿冒安全挑战问题的答案,这通常用作第二种附加的身份验证形式。提出安全挑战问题不仅增加了攻击的合法性,还为对手提供了有关其目标的重要个人信息。”
更有趣的是,这些电子邮件在某些情况下能够通过现有的电子邮件安全控制,因为它们不遵循更传统的网络钓鱼攻击模式。
例如,据该公司称,这项活动虽然使用了经典的“spray-and-pray”诱饵,但并不是一项大规模的电子邮件活动。在检查其中一封邮件时,研究人员注意到“这不是一封大批量的邮件,只有目标组织中的少数人收到,”他们写道。“这确保电子邮件不会被本机Microsoft电子邮件安全或安全电子邮件网关(SEG)提供的批量电子邮件筛选器捕获。”
Anand说,“我们正在努力确定客户群之外的影响范围,但像过去这样的活动在攻击范围上相当广泛,因为内容是通用的,足以跨越组织和行业垂直领域。在我们的客户群中,这不是一封群发邮件,也不是一封邮件。一些重要的贵宾或VAP(非常受攻击的人)收到了电子邮件。”
此外,他们检查的电子邮件能够通过常见的身份验证检查,如DMARC。DMARC(代表基于域的消息身份验证、报告和一致性)是一个行业标准,用于标记电子邮件头中“发件人”字段被篡改的消息。它确保电子邮件在到达用户邮箱之前经过身份验证,并确认它们是从合法来源发送的。如果配置正确,则可以在网关上停止潜在的仿冒电子邮件,或重定向到垃圾邮件文件夹。
“虽然发件人姓名——美国银行——是冒充的,但电子邮件是通过SendGrid从个人雅虎账户发送的。研究人员解释说:“这使得电子邮件成功地通过了所有身份验证检查,如SPF[发件人策略框架]、DKIM[域密钥标识邮件]和DMARC。”
“DMARC是有用的,但有一些关键的差距,”Anand说。
他说:“首先,DMARC主要是为了防止直接域欺骗(事实并非如此)。“其次,为了保护使用DMARC的组织,所有用于与员工通信的域都应该启用DMARC(这在今天是不可能的)。从合法域(Gmail、Yahoo)发送的电子邮件,虽然不是直接的域欺骗,但很有可能通过DMARC。”
攻击者还使用了一个全新的、以前从未使用过的URL来设置他们的钓鱼网站。因为该页面托管在一个新域上,所以它能够通过为阻止已知的错误链接而创建的任何筛选器。
此外,据该公司称,这种努力比通常在此类攻击中看到的表现出更好的社会工程学。例如,研究人员解释说,最终的凭证仿冒页面是“精心制作的,类似于美国银行的登录页面”。
Anand 说:“这次袭击中涉及的波兰人的水平值得注意。“这些钓鱼网站一眼看上去就像美国银行(Bank of America)的网页。这次攻击的另一个复杂迹象是,攻击者也向目标询问其安全挑战问题。如果攻击者成功获取任何此类答案,他们可能会强行进入涉及安全挑战问题的其他帐户(因为这些问题在应用程序中很常见)。”
