利用合法服務的網路釣魚攻擊
惡意行為者通常會在網路釣魚活動中冒充受信任的品牌,以增強其資訊的可信度。事實上,超過 51% 的網路釣魚攻擊都冒充了全球 20 大品牌中的一個。最新研究表明,這些網路犯罪分子正在升級他們的攻擊手段——他們不再只是冒充品牌,而是利用這些品牌的合法服務來投放惡意負載。
《2023 年網路釣魚威脅報告》顯示,利用 LinkedIn 和百度等品牌提供的合法服務傳送惡意連結的網路釣魚電子郵件有所增加。惡意行為者一直利用這些服務重新導向到他們的惡意網站,試圖竊取使用者認證。此外,他們也會利用 Sendgrid 等合法的電子郵件遞送服務。
儘管��這些網路釣魚活動所使用的誘餌手法各有不同,但大多數攻擊案例都是仿冒 DocuSign 的官方樣式(如下列圖示所示)。在這起特定案例中,攻擊者寄出的電子郵件主旨標註為「Document shared for 552 Friday-August-2023 07:07 AM」。
圖 1:DocuSign 冒充電子郵件中使用的 PNG
如上所示,惡意行為者使用了看似合法 DocuSign 請求的 PNG 影像,該影像超連結到這個流行的中國搜尋引擎百度:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
這會重新導向至:hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
寄件者使用了合法的企業網域 @ciptaprimayoga.com,該網域似乎是一家印尼電池公司,可能已被入侵。使用合法網域可使攻擊者繞過緩解過程中查看網域年齡(即建立日期)的安全措施。
一旦點擊該連結,收件者所屬的公司名稱就會透過 URL 路徑自動顯示在一個自訂的 Microsoft 登入頁面上。
作為研究的一部分,我們點擊了惡意連�結,自訂的 Cloudflare 登入頁面動態載入了公司標誌和著名的 Cloudflare 熔岩燈牆的背景影像。
圖 2:使用 Cloudflare 品牌的偽造 Microsoft 認證網路釣魚
輸入認證(被攻擊者收集)後,網站會重新導向至 Office.com。
另一個常被濫用於網路釣魚郵件的服務是 SendGrid,如下圖所示,這家電子郵件行銷公司正被用來傳送假冒 PayPal 的電話詐騙郵件。攻擊者可以利用 SendGrid 繞過傳統的電子郵件安全機制,例如寄件者原則架構 (SPF)、網域金鑰識別郵件 (DKIM) 以及基於網域的郵件驗證、報告與一致性 (DMARC),從而提升其攻擊活動的可信度。
圖 3:使用 SendGrid 傳送的 PayPal 電話詐騙
這類詐騙以及類似的騙局,目的是引誘使用者撥打列出的電話號碼,而該號碼會被轉接到一個由惡意行為者駐守的客服中心,他們會試圖說服受害者安裝惡意程式碼,並透過電話竊取銀行帳戶資訊。
89% 的電子郵件驗證無法阻止威脅。隨著網路釣魚手段日益猖獗,並逐漸滲透到使用者的收件匣中,將網路韌性融入公司文化並保護組織免受電子郵件威脅變得比以往任何時候都更加重要。
Cloudflare Email Security 使用進階機器學習和人工智慧,即時發現惡意行為者用來繞過傳統安全措施和雲端電子郵件提供者的新策略。申請免費的網路釣魚風險評估,以瞭解您目前的電子郵件安全系統可能讓哪些網路釣魚攻擊通過。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
取得《2023 年網路釣魚威脅報告》,瞭解有關最新趨勢��的完整調查結果,以及防止攻擊得逞的建議。
作者
Maaz Qureshi
Cloudflare 威脅回應工程師
重點
閱讀本文後,您將能夠瞭解:
使用合法服務傳送惡意負載
89% 的電子郵件驗證無法阻止威脅
先發製人的電子郵件安全措施如何發現繞過傳統安全措施的新策略