微软365防御者威胁情报团队发布了文章声明他们一直在使用开放重定向链接跟踪一个广泛的凭据式网络钓鱼活动。长期以来,打开重定向一直是钓鱼者的武器之一,它是一种欺骗受害者点击恶意链接的行之有效的方法。
什么是开放重定向?
http参数可能包含URL值,并可能导致web应用程序将请求重定向到指定的URL。通过修改恶意站点的URL值,攻击者可以成功地发起钓鱼骗局,窃取用户凭证。因为修改后的链接中的服务器名称与原来的网站名称相同,所以网络钓鱼的企图看起来更可信。”
用外行人的话说,你点击一个链接,以为你要去一个值得信任的网站,但这个链接的构建方式使你重定向到另一个网站,在这种情况下,这是非常不值得信任的。例如,用户在点击电子邮件中的链接之前,可能会看到一个他们信任的域名,从而点击它。之后,他们会改变方向,在某个意想不到的地方着陆。如果钓鱼者是好的,它会看起来好像受害者落在他们预期的地方。
验证码
这种网络钓鱼活动用来获得受害者信任的另一个元素是在网络钓鱼页面添加验证码验证。这并不少见。研究人员发现了一些使用合法的挑战和响应服务(如谷歌的reCAPTCHA)或部署定制的虚假captcha验证的新活动。早先的研究已经表明,受验证码保护的钓鱼网页有所增加。在验证码后面隐藏钓鱼内容可以防止爬虫程序检测到恶意内容,它甚至为钓鱼登录页面添加了合法的外观。
毕竟,CAPTCHA代表的是完全自动化的公共图灵测试,以区分计算机和人类。因此,它将努力阻止来自安全供应商和研究人员的自动爬虫,只允许“弱小的人”进入,因为这些人很容易被网络钓鱼。我写了试一试因为有很多爬虫都配备了CAPTCHA解决能力,比我的还好。在几个网站上重复相同的验证码只会让那些爬虫更容易。
钓鱼者也可能没有意识到,或者懒得思考,是验证码使用一个惟一的ID,如果你开始钓鱼页面复制您的验证码ID,它允许研究人员跟踪你的活动和帮助他们迅速找到并确定你的新网络钓鱼网站。甚至可能比平时安全爬虫找到他们的速度还快。
凭据钓鱼
凭据钓鱼电子邮件通常是威胁行为者在网络中获得立足点的起点。一旦攻击者设法获得有效的凭证,他们就可以尝试他们找到的凭证,而不是求助于它蛮力攻击。在这次活动中,微软注意到这些电子邮件似乎遵循了一个普遍的模式,即在一个带有一个大按钮的框中显示所有的电子邮件内容,当点击这个大按钮时,就会进入凭证收集页面。
一旦受害者通过了CAPTCHA验证,他们就会看到一个模仿用户期望的合法服务的网站。在这个网站上,他们会看到他们的电子邮件地址已经出现,并询问用户的密码。该技术旨在欺骗用户填写与电子邮件地址相关的公司凭证或其他凭证。
如果用户输入密码,页面会刷新,并显示错误消息,说明页面超时或密码不正确,用户必须再次输入密码。这样做可能是为了让用户输入两次密码,让攻击者确保他们获得正确的密码。
一旦用户第二次输入密码,该页面就会跳转到一个合法的Sophos网站,该网站声称邮件信息已经被发布。这是欺骗受害者的另一层社会工程。
认识到网络钓鱼
微软为读者提供了许多与这项活动有关的域名,但对于收件人来说,它更容易识别的主题行格式可能是这样的:
- [收件人用户名]1新通知
- 在[日期和时间]报告[接收域名]的状态
- 在[日期和时间]召开[收件人域名]缩放会议
- [接收域名]在[日期和时间]的状态
- 于[日期及时间]发出[收件人域名]密码通知
- 接收方的用户名eNotification
导致网站(在验证码后面)假装收件人登录Zoom、Office 365或其他微软服务。在此期间观察到的活动中使用的最终域大多遵循特定的域生成算法(DGA)模式。许多托管钓鱼网页的域遵循特定的DGA模式:
- 【信】——【信】【信】。xyz(例如:c-tl.xyz)
- 【信】——【信】【信】。俱乐部(例如:i-at.club)
有一件事要记住密码管理器可以帮助你对抗网络钓鱼。密码管理器不会为它不能识别的站点提供凭据,虽然钓鱼网站可能欺骗人眼,但它不会欺骗密码管理器。这有助于用户获取他们的密码。
保持安全,大家好!
评论