研究人员披露以回信当诱饵的新钓鱼手法

随着企业及安全厂商的宣导,用户已知道要留心陌生电子邮件信箱寄来的邮件。但研究人员发现利用回信来发送信件的新式钓鱼手法,效果相当惊人。

安全研究人员Craig Hays描述该公司一名员工中了钓鱼邮件后,开始在公司网络散发大量垃圾信件,显示用户邮件账号被劫持,不久后其他人也传出账号被劫持。公司的安全团队发现所有遭劫持的邮件,都被别人当地球上其他角落几乎同一时间访问。然而初步调查并未发现有任何人接到陌生人寄来的信件。

比对登录时戳和电子邮件时戳显示,所有钓鱼邮件都非来自陌生账号,而是针对真实信件的回复。黑客在回复信件中加入钓鱼连接,而用户看到熟人回复信件,于是不疑有他而点入连接中招。

研究人员分析这新式钓鱼信件的运行方式。只要有任何一个人邮件账号被入侵,黑客就可以在远程服务器上跑机器人程序来接收其登录帐密,然后登录其账号,查看受害者最近几天内收到的信件。他再针对每组邮件对话串进行回复(即以Re:开头为主旨的信件),再加上钓渔网页的连接,邀请他们连接网站下载文件或点击信息,以窃取其他受害人的帐密。为了扩大受害范围,攻击者还使用了“Reply All”确保没有漏网之鱼。

由于所有人都是近期内有过联系,且利用Re:为主旨的邮件,因此收信者不太可能发现异常。研究人员指出,结合回复最近信件、社交工程手法以及机器人,可以大幅提高帐密信息的搜集效率,最重要是一般用户几乎难以防范。而在研究人员公司的案例中,要不是黑客太过心急,一搜集到帐密就发大量钓鱼信,也不会引起注意。

研究人员指出,这波钓鱼攻击手法固然新,但是只要所有用户账号都设置多因素验证(multi-factor authentication,MFA),就能避免连上钓渔网站后被骗走账号信息。