钓鱼邮件攻击滥用网址重定向、云计算服务与自动化真人检测服务CAPTCHA

网络钓鱼攻击手法推陈出新,日前有攻击者利用验证真人与机器人的CAPTCHA机制,诱骗受害者下载金融木马,而根据安全企业Greathon的统计,滥用Google Meet和Google DoubleClick等工具,重定向到其他网站的钓鱼攻击手法,也日益升温,如今攻击者也将这些方法运用于钓鱼邮件上。

在微软最近披露钓鱼邮件攻击行动其中,我们同样看到类似的手法。在这事件里面,黑客为了回避侦测,广泛使用合法的寄件者域名名称,这些域名包含国家级域名(ccTLD)、遭黑的合法域名名称,以及攻击者所持有、由域名生成算法(DGA)所产生的域名名称。微软发现,至少有350个域名名称被用于此次攻击行动,研究人员认为,这突显了一个现象,那就是:有许多黑客投入相关攻击行动。

关于这波攻击行动里的钓鱼邮件有哪些公用特征?微软指出,信件内容都存在相当显著的点击按钮,诱使收信人按下去,以便将他们带往恶意网站。

再者,信件的主旨内容,往往包含收件人的用户名,以及所属的域名名称,甚至是日期、时间,以便取信收件人,让他们相信是针对自己而来的通知。由于域名名称很可能与组织的名称相同,使得这类通知看似从组织或是企业所发出。

这些信件的主旨,包含了收件人组织将于指定时日举办Zoom Meeting的线上会议,或者是用户密码异动通知等,而让受害者信以为真。

一旦收信人信以为真,点击信件里的按钮,就会重新被引导到攻击者的网站。但为何钓鱼信件里的连接能通过邮件防护系统的检查?微软指出,原因是在于攻击者使用了特别制作的URL,这些网址看起来是对应合法组织的域名名称,实际上是通过重定向的方式,将用户引导到攻击者的网站。由于重定向的做法在企业也相当常见,因此IT人员也很难直接封锁具有这类URL的电子邮件。

而在攻击者的网站中,他们使用了Google的reCAPTCHA服务,借此避开那些过滤网页内容检测的服务,或是规避动态扫描系统,以免这类安全防护机制发现实际的钓渔网页。

收信人若是完成CAPTCHA验证后,便会看到冒充合法服务(如Office 365)的登录网站,这个网站会预先填入收件人的账号(电子邮件信箱),甚至可能会包含收件人所属的公司标志。如果收信人输入了密码,这个网页便会显示错误消息,像是连接超过时或是密码不正确,要求收件人再次输入密码。微软指出,攻击者这么做的目的,很可能是为了确保得到正确的密码。

收件人输入了第二次密码后,便会被导向合法的Sophos网站,让人误以为是安全的。但实际上,刚刚输入的密码已经遭到监听。

发表评论