SBA网络钓鱼诈骗：从恶意软件到高级社会工程|必威平台APP必威官方登录备用Malwarebytes Labs.

许多威胁演员继续通过网络钓鱼诈骗和其他广播恶意软件的活动来利用正在进行的冠状病毒大流行。

在这篇博客中，我们看一张针对Covid-19救济贷款的申请人的3个不同的网络钓鱼波。网络钓鱼电子邮件模拟美国小型企业管理（SBA），并旨在提供恶意软件，窃取用户凭据或犯下金融欺诈。

在每一项活动中，犯罪分子都在欺骗发件人的电子邮件，使其看起来像SBA的官方邮件。这种技术非常普遍，不幸的是，经常被误解，导致许多成功的骗局。

4月，我们看到使用Covid-19作为诱饵来分配恶意软件的第一波SBA攻击。电子邮件包含具有“sba_disaster_application_confirmation_documents_covid_relief.img”等名称的附件。

恶意软件是受欢迎的Guloader.，犯罪分子使用的隐身下载器加载其选择的有效载荷和旁路防病毒检测。

我们看到的第二波涉及更传统的网络钓鱼方法，目标是收集受害者的凭证，以便稍后诈骗。

一个URL，特别是如果它与发件人无关，那么电子邮件可能是欺诈性的大赠品。但是当攻击者使用看似合法的附件时，事情会变得更加复杂。

这就是我们在一个非常聪明和大胆的方案中看到的，以欺骗人们完成一个完整的形式，包含高度个人信息，包括银行账户详细信息。这些可用于直接排出账户或额外的社交工程层，这使用户借鉴了作为真实SBA程序的一部分不存在的高级费用。

这一最新的行动始于8月初，其说服力足以骗过经验丰富的安全专家。以下是我们在分析过程中遇到的一些危险信号。

大多数人都不知道电子邮件欺骗并相信，如果发件人的电子邮件符合合法组织的邮件，它一定是真实的。不幸的是，情况并非如此，需要执行额外的检查来确认发送者的真实性。

有各种各样的技术可以确认真实的发件人电子邮件地址，但我们将转而关注电子邮件标题，这是一种任何人都可以使用的蓝图。根据电子邮件客户端，有不同的方式来查看这些标题。在Outlook中，你可以单击“文件”，然后单击“属性”来显示它们:

看的一个看的物品是“收到的”字段。在这种情况下，它显示了一个看起来可疑的主机名（Park-mx.above [。] com）。事实上，我们可以看到它已经提到过另一个诈骗运动．

如果我们返回此电子邮件，我们会看到它包含一个附件，借助3245-0406参考编号。看看PDF元数据有时可以揭示有趣的信息。

在这里，我们注意到该文件是在7月31日创建的，Skia是Chrome的一个图形库。这告诉我们，欺诈者在发送垃圾邮件之前不久创建了这表。

为了进行比较，如果我们查看从SBA官方网站下载的应用程序，我们会看到一些不同的元数据:

这种合法申请表是在3月27日的Word中使用了Acrobat Pdfmaker，这与大流行时间表一致。

贷款申请通常打印出来，然后邮寄到政府办事处的一个实际地址。如果我们回到原始邮件，它会要求通过电子邮件发送完成的表格作为回复:

这是事情变得有趣的地方。即使发件人的电子邮件是abandcustomerservice@sba.gov，当您按回复按钮时，它会显示一个不同的电子邮件地址：afmercustomerservice@ gov-sba [。]我们．sba.gov是官方和合法的政府网站，gov-sba[。我们不是。

该域名（GOV-SBA [。]美国）仅在电子邮件活动开始并显然不属于美国政府之前登记。

但是，我们应该注意到，这项运动非常详细，并且可以很容易地堕落。遗憾的是，在申请贷款时，你想要的最后一件事就是走出更多的钱。

如果你回复这封电子邮件时填写了包含私人信息(包括你的银行账户信息)的完整表格，这就是会发生的事情。

毫无疑问，当人们被要求在网上填写信息时，尤其是在电子邮件中，他们应该非常谨慎。骗子潜伏在每一个角落，准备抓住下一个机会。

这俩司法部和小企业管理局一直警告与SBA贷款有关的诈骗。他们各自的网站提供了关于如何避免各种恶意计划的各种提示。

也许是最大的外卖，特别是在涉及网络钓鱼电子邮件时，发件人的地址很容易被欺骗，也绝不是合法性的坚实保证，即使它看起来完全相同。

因为我们不能期望每个人都检查电子邮件标题和元数据，至少我们可以建议仔细检查任何与朋友或打电话给政府组织的通信的合法性。对于后者，我们总是建议永远不要拨打电子邮件中找到的号码或语音邮件中留下的号码，因为它可能是假的。谷歌组织的正确联系号码。

必威平台APP还可以阻止钓鱼攻击和恶意软件拦截违规的基础设施使用的骗子。

SBA钓鱼诈骗:从恶意软件到先进的社会工程