Cofense 網絡釣魚防禦中心(PDC)近日發現了一個新的網絡釣魚活動,試圖通過扮演首席信息官(CIO)來收集員工的登錄憑證。在發送給員工的釣魚郵件中,正文部分看起來像是由公司內部的來源發出的,在標題中給出了公司的標誌,同時還偽裝有 CIO 簽署的協議。
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210602_60b6e86a2ce15.jpg)
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
通過偽裝成為公司高管,黑客會發送了一份虛假的通訊,解釋了該公司針對大流行病採取的新的預防措施和業務運營的變化。在新冠疫情期間,很多公司都會對他們的業務進行調整,並為他們的員工提供指導。然而,在這種情況下,威脅者正試圖利用有時令人困惑的變化來竊取憑證和個人信息。
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210602_60b6e86b23a8a.jpg)
如果員工誤信了這封電子郵件,他們就會被轉到一個看似微軟 SharePoint 的頁面,其中有兩個文件。這些文件看起來是合法的,概述了原始電子郵件中提到的業務操作的變化。這個額外的步驟不是簡單地重定向到一個登錄頁面,而是增加了攻擊的深度,讓人覺得它們是來自公司內部的實際文件。當與這些文件互動時,就會發現它們不是真實的,而是用來獲取賬戶憑證的網絡釣魚機制。
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210602_60b6e86be828e.jpg)
點擊任何一個文件都會產生一個登錄面板,提示收件人提供登錄憑證以訪問文件。這在大多數微軟釣魚網頁中是不常見的,在這些網頁中,欺騙微軟登錄屏幕的策略會打開一個認證器面板。通過讓文件看起來是真實的,而不是重定向到另一個登錄頁面,用戶可能更有可能提供他們的憑證以查看更新。
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210602_60b6e86cb73c5.jpg)
威脅者使用的另一種技術,我們在其他活動中也看到過,那就是使用假的驗證憑證。在這個例子中,前幾次將登錄信息輸入面板時,結果會出現錯誤信息,”您的賬戶或密碼不正確”。
![[圖]新型網絡釣魚活動:偽裝成公司高管收集員工登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210602_60b6e86d87012.jpg)
輸入幾次登錄信息后,員工將被重定向到一個實際的微軟頁面。這給人的感覺是,登錄信息是正確的,而且該員工現在可以訪問OneDrive文件。在現實中,威脅者現在可以完全訪問賬戶所有者的信息。