邮件通信“死而复生”?这是网络钓鱼

邮件通信“死而复生”?这是网络钓鱼

你是否遇到过这种情况:几个月前你发出的邮件突然得到了回复。邮件内容可能与一次会议或工作相关,也有可能是对过去问题的回复。这封邮件与你高度相关,但事情早就已经结束了,现在突然收到这封奇怪的邮件又是怎么回事呢?

这是一种新攻击策略,可以让很久以前的邮件通信“复活”,这就是僵尸网络钓鱼(Zombie Phish)。

Cofense网络钓鱼防御中心最近一直在调查针对多个客户的僵尸网络钓鱼攻击。攻击者劫持了受感染的电子邮件帐户,通过该帐户收件箱回复以前的邮件,邮件中通常带有网络钓鱼链接或恶意附件。由于电子邮件的主题与受害者有直接利益关系,所以攻击者中招的可能性很大。

这些僵尸网络钓鱼似乎使用自动生成的受感染URL来逃避检测。邮件中无法显示内容,需要点击一个链接才能查看,每个链接都不一样。到目前为止,网络钓鱼防御中心已经观察到两种常见的带有恶意链接的僵尸网络钓鱼模板。这些电子邮件活动可以在图1和图2中看到。

邮件通信“死而复生”?这是网络钓鱼 邮件通信“死而复生”?这是网络钓鱼

此活动的另一个常见标志是使用.icu顶级域名(TLD),但这可能会在未来发生变化。在此活动中发现的被滥用.icu 的TLD域名如图3所示。

邮件通信“死而复生”?这是网络钓鱼

活动中使用的.icu域名

收到域名滥用报告后,域名注册商关闭了许多域名。图4显示了与此活动相关联的域以及注册商收集到的数据。

邮件通信“死而复生”?这是网络钓鱼

此外,网络钓鱼防御中心发现这些网络钓鱼邮件使用官方组织logo来增加虚假登录页面的可信度—-图5。这些页面冒充受害者常用的在线门户网站,包括公司的Logo甚至是受害者偏爱的网站的Logo。一旦中招,受害者的凭据就会被盗。

邮件通信“死而复生”?这是网络钓鱼

最后,任何访问恶意网站受害者都需要用主机的IP地址作为标识符进行“指纹识别”,并且一输入凭据就会立即重定向一个垃圾网站。这些链接通常是使用URL缩短器进行了混淆的链接。如果同一主机再次尝试访问网络钓鱼链接,则会跳过登录页面,直接进入垃圾网站页面。这种“指纹识别”和URL混淆让攻击者不易被发现,让他们继续兴风作浪。

会话劫持

“会话劫持”本身并不是什么新策略,攻击者一直在劫持受感染的电子邮件帐户,这样才可以以回复邮件的方式分发恶意软件、进行网络钓鱼攻击。这种技术现在依然很受欢迎,因为它使受害者更有可能点击链接、下载或打开文件,因为在受害者在收件箱中打开邮件的时候,他们已经放下了心中的防备。现在正在肆虐的Geodo僵尸网络就是一个很好的例子,它将自身插入邮件中来传播恶意文档。但是,这种策略是否有效在很大程度上取决于会话的内容,回复自动发送的广告邮件是不太可能让用户上当的,而回复请求类型的邮件,用户的上当率就会大大提升,如图6所示。Cofense Intelligence已经发现了几个对自动广告邮件的回复,表明在某些情况下,僵尸网络钓鱼不加选择的回复收件箱中所有电子邮件。这些“会话劫持”邮件数量相对较低,也许受到了正在进行的会话数量的限制。因此,某些类型的帐户更有可能引起攻击者的关注,并促使他们投入额外的精力和时间来为这些帐户开发独特的网络钓鱼活动。

邮件通信“死而复生”?这是网络钓鱼

如何防止僵尸网络钓鱼

警惕看似相关但却过时的邮件主题。

警惕标志性的绿色“错误”按钮(图1所示)。

不要仅仅因为是回信就信任邮件内的附件。

将光标移到可疑消息中的按钮或链接上,以检查它们是否为.icu顶级域。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/124509.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code