检测到这一攻击活动的网络安全公司——Armorblox的研究人员称,攻击者使用的技术包括社工、假冒品牌和链接重定向,同时他们还会在Google FireBase(谷歌的移动平台)、Quip上建立钓鱼页面,研究人员表示,可能是这些相关的恶意电子邮件绕过了一些防护措施(如屏蔽非法链接、文件的安全过滤器等),从而让这些网站的域名和链接都会被认作是正常的。
值得一提的是,两者虽然攻击流程略有不同,但都是通过知名的快递公司发起,并以知名科技公司的登录界面实现。
伪造微软门户登录界面 联邦快递(FedEX)网络钓鱼攻击
该事件的整个攻击流程在报道中被还原。首先这些钓鱼邮件会使用诸如“您有一个新的联邦快递信息”,这个标题和包括发送者在内的信息都模仿的惟妙惟肖;接下来点开这个邮件,受害者很容易就会被其中的内容所迷惑,因为其内容和文件看起来都很正常,包括ID、页数、文件类型等等,当然还包括一个查看该文件的链接;
如果受害者点击这个链接,那么他们就会被带到Quip上的一个页面,这个页面会展示快递公司LOGO等,让它看起来非常真实,内容则会提示受害者收到了一个联邦快递的文件,并告诉他们可以点击查看文件;如果点击,那么受害者就会被带到最终的钓鱼页面——一个假冒的微软门户的登录界面,据称,这个页面是建立在Google FireBase上。
另外,如果受害者在页面上输入登录凭证后,页面会重新加载,并提示错误,要求受害者输入正确的详细信息。值得一提的是,不管你输入的信息是否正确,这个提示错误信息的页面都会出现。之所以会这样,研究人员表示这应该是攻击者设定了一个验证机制,以检查输入内容的真实性,或者是攻击者可能会希望获得尽可能多的电子邮件地址或密码信息。
伪造Adobe登录界面 DHL Express网络钓鱼攻击
虽然都是利用快递公司的邮件来发起攻击,但是DHL Express网络钓鱼攻击和之前的联邦快递方式有些不同。一封标题为“你的包裹已到达”的伪造邮件会被投递到收件人的信箱中,其内容是告知由于投递错误,包裹无法投递到他们手中,请到邮局领取,同时还会提示收件人,如果想要接收包裹的话,需要点击查看附件中的一份标题为“SHIPPING DOC”的HTML文件,点击后会打开一个像是物流信息文档的电子表格。
但是,预览需要通过Adobe PDF阅读器,打开后会有一个登录Adobe账户的请求出现。研究人员表示,尽管看起来像是要获取受害者的Adobe账户信息,但实际上的目标还是其工作邮件的登录凭证,因为在这个登录框中,账户那一栏已经预先填写了接收钓鱼邮件的邮箱地址,因此受害者会很轻易地输入对应这个邮箱的密码。
两种攻击相同之处在于,当受害者输入密码等信息之后,均会返回错误信息,让受害人再次输入。