您所在的位置: 首頁 >
安全研究 >
安全通告 >
攻擊者冒充DoT進行了為期兩天的釣魚
攻擊者冒充DoT進行了為期兩天的釣魚詐騙攻擊
威脅者在為期兩天的網(wǎng)絡(luò)釣魚攻擊活動中冒充美國交通部(USDOT),他們通過使用多種策略,為了使攻擊活動看起來更合法,他們還創(chuàng)建了虛假的聯(lián)邦網(wǎng)站的域名, 來逃避安全檢測。
在8月16日至18日期間,研究人員共發(fā)現(xiàn)了41封釣魚郵件,這些郵件都以國會最近通過的1萬億美元基礎(chǔ)設(shè)施方案中的項目投標為誘餌進行詐騙。
此次攻擊活動主要以工程、能源和建筑等行業(yè)的公司為攻擊目標,這些公司可能會與美國交通部合作,并向潛在的受害者發(fā)送詐騙電子郵件,其中他們被告知,美國交通部正邀請他們通過點擊一個帶有 "點擊這里投標 "字樣的巨大的藍色按鈕來提交一個部門項目的投標。
這些電子郵件是從亞馬遜8月16日注冊的一個域名transportationgov[.net]發(fā)出的。根據(jù)它的創(chuàng)建日期,似乎表明該網(wǎng)站正是專門為網(wǎng)絡(luò)釣魚活動設(shè)立的。
對于熟悉政府網(wǎng)站的人來說,政府網(wǎng)站通常會有一個.gov的后綴,從這方面來看,這個域名會顯得很可疑。然而,對于習慣于快速瀏覽的人來說,這個域名看起來可能像是一個正規(guī)的網(wǎng)站。
欺騙受害者
如果人們點擊鏈接,他們會被引導到transportation.gov.bidprocure.secure.akjackpot[.com]網(wǎng)站,有'transportation'、'gov'和'secure'等看起來很正規(guī)的子域名。然而,該網(wǎng)站的基礎(chǔ)域名akjackpot[.]com實際上是在2019年注冊的,該基礎(chǔ)域名上可能運行的是一個馬來西亞人的在線賭場網(wǎng)站。要么該網(wǎng)站已經(jīng)被劫持了,要么網(wǎng)站的所有者本身就是利用它來冒充美國聯(lián)邦貿(mào)易委員會的釣魚者。
一旦進入了假的投標網(wǎng)站,用戶就會被指示點擊一個 "投標 "按鈕,并用他們的電子郵件提供商進行登錄。它還指示他們?nèi)绻腥魏螁栴},可以與另一個假域名mike.reynolds@transportationgov[.]us的所有者進行聯(lián)系。
一旦受害者關(guān)閉了指示,他們就會被引導到一個與真實的美國交通部網(wǎng)站非常相像的網(wǎng)站上,這個網(wǎng)站其實是攻擊者將政府網(wǎng)站的HTML和CSS復制到他們的主機上做出來的。
在詐騙完成之后,威脅者還復制和粘貼了一個關(guān)于如何驗證美國政府網(wǎng)站真實性的警告,這樣可以提醒受害者,他們被騙了,因為他們意識到這個釣魚網(wǎng)站的域名是以.com結(jié)尾,而不是.gov或.mil。
一旦進入這個假冒的美國交通部網(wǎng)站,受害者就會被邀請點擊一個 "點擊這里投標 "按鈕,還會出現(xiàn)一個帶有微軟標志和 "用你的電子郵件提供商登錄 "指示的憑證收集表格。第一次嘗試輸入憑證時會遇到ReCAPTCHA驗證,合法網(wǎng)站一般會將其作為網(wǎng)站的安全組件。然而,攻擊者在這時就已經(jīng)獲取了憑證。
如果受害者第二次嘗試輸入證書,就會出現(xiàn)一個錯誤信息,然后他們會被引導到真正的美國交通部網(wǎng)站,釣魚者經(jīng)常將這一步作為最后一步來進行執(zhí)行。
躲避設(shè)備的檢測
雖然攻擊者在他們的攻擊活動中沒有使用任何新的網(wǎng)絡(luò)釣魚技巧,但正是這種新模式的戰(zhàn)術(shù)組合使他們能夠繞過安全的電子郵件網(wǎng)關(guān)來進行攻擊。
創(chuàng)建一個新的域名,巧妙的利用當前的事件,冒充一個著名的機構(gòu),就可以發(fā)起一次憑證竊取攻擊,這些釣魚攻擊者想出了一個與所有已知攻擊剛好不同的攻擊方式,很好的躲避了標準的檢測方法。使用新創(chuàng)建的域名可以使違法的釣魚郵件通過SPF、DKIM和DMARC等標準的電子郵件認證。
由于它們的攻擊域名等都是全新的,它們以前也從未出現(xiàn)過,也沒有出現(xiàn)在傳統(tǒng)的反釣魚工具所參考的威脅情報中。并且這些網(wǎng)站看起來沒有惡意,人們很容易上當。
參考及來源:https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/
原文來源:嘶吼專業(yè)版