网络钓鱼几乎是一个和互联网一样古老的问题。然而,2019年,犯罪分子继续使用他们的网络钓鱼技巧,简而言之,这就是有效的。网络钓鱼攻击利用人类的心理,利用恐惧、焦虑或懒惰等情绪,取得了成功,因为它们瞄准了我们的弱点并加以利用——就像利用工具利用软件程序的漏洞一样。

为了理解网络钓鱼攻击为何继续有效,我们研究了威胁参与者设计的尖端策略,以模糊其真实意图,并利用基本疏忽。为此,我们总结了今年值得注意的、开箱即用的网络钓鱼活动(现在还不是第二季度!)。以下是突出的攻击。

你不能轻易忽视这一点

Myki,顶级制造商密码管理器最近发现了一个欺骗性的Facebook网络钓鱼骗局是如此令人信服,它激起了安全研究人员的兴趣。

这场风波始于该公司收到多份用户报告,称他们的Myki密码管理器拒绝在他们访问的网站上自动填充一个Facebook弹出窗口,称这是一个漏洞。

在进一步调查之后,Myki的安全研究人员意识到这不是一个漏洞,事实上,他们的产品是在保护他们的客户不相信所谓的Facebook弹出窗口。下面是一段视频演示了他们能够发现并成功复制的网络钓鱼活动:

视频演示(由Myki提供)

Myki的联合创始人兼首席执行官Antoine Vincent Jebara写道:“黑客用HTML设计了一个非常逼真的社交登录弹出提示符。”在一篇博文中.“状态栏、导航栏、阴影和内容都被完美地复制了出来,看起来就像一个合法的登录提示符。”

假弹出窗口的外观和感觉都非常真实,用户可以像使用合法弹出窗口一样拖拽并删除它。虽然它带来了令人信服的攻击程度的合法性,弹出了比赛一旦用户试图拖出来的页面,这是不可能发生的,因为接触的边缘部分浏览器窗口消失,让用户认识到弹出网页本身的一部分。

所以,下一次当你注意到你的密码管理器表现得很滑稽的时候,就像你知道的那样,没有预先填充弹出窗口,它应该尝试将弹出窗口从你的浏览器中拖走。如果一部分(或大部分)内容在到达浏览器边缘后消失,则这是一个假弹出窗口。立即关闭页面选项卡!

一千个字符的网络钓鱼

无论如何理智的标准来说,400到1000个字符的URL太长了。然而,这并没有阻止网络钓鱼者在他/她的活动中使用它。不仅仅是一次,而是在多个实例中,在一个钓鱼运动的电子邮件-这让聪明的接受者很恼火

活动中使用的长达一公里的网址截图(由myonlinessecurity提供)

上面提取的URL取自一封据称是收件人电子邮件域通知的电子邮件,告诉他们由于多次登录失败,他们的帐户被列入黑名单。然后,它指示收件人在服务提供商暂停或终止其电子邮件帐户之前升级并验证其电子邮件帐户。

没有人确切地知道为什么有人会疯狂到尝试这样做。现在,骗子们知道有更好、更可持续的方法来混淆网址。但可惜的是,勤奋的钓鱼者仍然逍遥法外。复制和粘贴所有这些字符并不容易,毕竟,更不用说手动输入它们了。

让我们给他们一个A,好吗?然而,网络钓鱼绝非笑料,所以让我们关注一下这一点。

(不)迷失在(谷歌)翻译中

在线翻译服务的目的只有一个:把内容从原文翻译成另一种语言。谁会想到钓鱼者可以使用一个合法的谷歌翻译页面作为他们试图拥有的用户的登录页面?

钓鱼邮件截图(由Akamai提供)

:{收件人}
来自:安全账户< facebook_secur@hotmail com >(。)
主题:安全警报
消息正文:

连接到新设备

(修订)

用户刚刚从新的Windows设备登录到您的Google帐户。我们向您发送此电子邮件是为了验证是否是您。

[咨询活动]

“为什么要这样做?”你可能会想。Akamai高级安全响应工程师Larry Cashdolar表示,在一篇博文中“使用谷歌Translate可以做一些事情;它用大量的随机文本填充URL(地址)栏,但最重要的视觉效果是受害者看到一个合法的谷歌域。在某些情况下,这一伎俩将有助于罪犯绕过端点防御。”

他还指出,这种战术可能会被目标毫无怀疑地接受在移动设备上观看,因为网络钓鱼电子邮件和登录页面看起来更合法。然而,当在笔记本电脑或台式机上观看时,这种策略的缺陷是显而易见的。

Cashdollar提到,这场网络钓鱼活动是一场双管齐下的攻击,其中,网络钓鱼者的目标是首先获取谷歌凭证,然后获取Facebook凭证。请注意,假冒Facebook登录的域名不在谷歌翻译页面上。

Cashdollar进一步写道:“在同一时段,针对两个品牌的攻击是非常罕见的。”

为了让用户避免陷入这样的网络钓鱼,Cashdollar有这样一句话:“最好的防御是良好的进攻。这意味着在采取任何行动之前,要花时间仔细检查信息。“发件人”地址是否符合您的期望?这条信息是否产生了一种奇怪的紧迫感、恐惧感或权威感,几乎要求你做些什么?如果是这样的话,这些是值得怀疑的信息,也是最有可能导致账户受损的信息。”

那只敏捷的棕色狐狸去了哪里?

不幸的是,这些字母被放置在了不该放置的位置,这样钓鱼者就可以隐藏登陆页面的源代码,让它看起来不那么可疑。

这是我们在Proofpoint的朋友们遇到时发现的利用自定义字体文件的活动用于解码和隐藏内容。

这种特殊的网络钓鱼攻击始于一封声称来自美国一家主要银行的电子邮件,当用户点击电子邮件中的链接时,他们会被导向一个令人信服的银行官方页面副本,该页面已准备好并等待接收凭证输入。

自定义字体文件,即woff沃夫2安装替换密码,然后通过直接字符替换将用户在页面上看到的字母替换为源代码中的其他字母。例如,在普通字体文件中看到的文本“the quick brown fox…”在自定义字体文件中是“Eht wprcx bivqn fvk…”。

截图的woff字体档案(由Proofpoint提供)

Proofpoint指出,钓鱼工具可能从2018年5月起就已推出,如果不是更早的话。

为了对抗这一策略以及本综述中提到的其他策略,用户必须继续坚持建立安全计算协议,例如不点击可疑电子邮件的链接,直接从浏览器而不是通过电子邮件访问银行网站。

企业也可以通过将钓鱼攻击纳入员工培训计划,来应对不那么明显的钓鱼攻击。任何好的反钓鱼计划将使用目前在野外使用的技术(而尼日利亚王子,虽然仍然在那里,可能不是一个你仍然需要训练的。)

一如既往,请保持安全,并随时了解情况!