網絡釣魚嘗試使用偽造和創建不好的Office 365憑據更新表格以幌子Google文檔正在發生,根據獲得新的Cofense報告。
Cofense發現,網絡釣魚電子郵件源自具有特權訪問金融服務提供商CIM Finance的受損自動郵件帳戶。通過使用CIM Finance的網站託管網絡釣魚電子郵件,惡意玩家確保他們的郵件可以通過DKIM和SPF一起通過必要的電子郵件保護檢查。
在創建了具有特權訪問CIM Finance的陰暗電子郵件帳戶之後,肇事者使用CIM Finance Internet站點來運送網絡釣魚電子郵件。然後將他們清除第一個電子郵件保護檢查,因為電子郵件起源於有效來源。
網絡犯罪分子利用Google文檔進行網絡釣魚活動
Cofense的歐洲總監Dave Mount告訴SC Media,網絡釣魚風險玩家長期以來一直濫用雲服務,以通過Google表格提供惡意有效載荷。
“在此廣告系列及其他類似的活動中,Google表格用於創建人造Microsoft登錄頁面,以收穫公司的消費者證書。”
電子郵件本身作為IT機組的通知偽裝,告知收件人“ [更新用戶的]辦公室365“需要防止其帳戶中的暫停。通過創造這種緊迫性的經驗,邪惡的人試圖使收件人點擊“立即更新”按鈕。
該電子郵件看起來像“ IT Company團隊”的通知,還告知目標其Office 365已過期,並且需要很快“最新”。正如預期的那樣,目標驚慌失措並單擊網絡釣魚鏈接,將其詳細信息直接提供給Microsoft Office 365登錄頁面的副本。 Cofense的博客寫道,辨別的眼睛可以在這裡發現危險。
根據Cofense的說法,威脅參與者安裝了託管的分階段Microsoft表格Google這使真實的SSL證書誘使放棄收件人相信用戶將連接到與公司相關的Microsoft頁面。 Cofense說:“但是,[用戶]鏈接到Google託管的外部網站。”
“一半的單詞被大寫,字母被星號替換;示例包括關鍵字“電子郵件”和“密碼”。此外,停止用戶鍵入憑據時,他們似乎是在用用戶進入憑據的登錄頁面的簡單文字。Google Drive。 ”
上述網絡釣魚“難以追踪”的影響
Cofense網絡釣魚防禦中心受到公司客戶的注意。但是,尚未評估此特定營銷活動的範圍。
根據芒特的說法,特定活動的影響“很難追踪”,通常不在Cofense的權限中。但是,芒特說,使用這樣的運動收穫的任何證書都可能導致廣泛的妥協或統計違規。
芒特說,Cofense已經看到了數百種使用Google表格的網絡釣魚電子郵件示例作為收穫人證書的有效載荷。其他不尋常的雲產品經常因網絡釣魚危害玩家而濫用,包括OneDrive,SharePoint.com,Google Docs,Wetransfer和Dropbox。
警報用戶大部分時間都可能發現此類活動
但是,芒特說,警報和意識到的用戶大多數時候都會發現此類活動。
根據芒特的說法,最終客戶必須能夠將可疑電子郵件記錄到其安全團隊,並使他們能夠採取適當的措施來了解警告。
