研究者卡巴斯基揭露針對公司員工的網路釣魚活動“誰處理財務文件”。網路攻擊依賴社會工程,這是一種誘騙個人洩露機密資訊的心理操縱策略,Dropbox,線上儲存服務受歡迎的。
兩步驟網路攻擊
最初,網路犯罪分子會模仿一家審計公司的。透過冒充這家公司,他們將透過電子郵件聯繫目標。為了欺騙受害者,駭客使用可能事先洩露的官方電子郵件地址。通常情況下,該操作是基於資料洩露,近幾個月急劇增加。
這就是攻擊難以偵測的部分原因。第一封電子郵件聲稱該公司的財務報告太大,無法透過電子郵件傳輸。因此,詐騙者希望透過 Dropbox 將文件傳輸給使用者。
「對於那些閱讀該電子郵件的人來說,該電子郵件似乎是合法的並且是由人編寫的。網路安全軟體也不是違規行為。審計公司擁有接收者資訊的藉口是合理的,關於共享機密資訊的免責聲明也是如此。此外,該電子郵件不包含任何連結或附件,並且來自可輕鬆在線驗證的公司地址,這使得垃圾郵件過濾器幾乎不可能檢測到。卡巴斯基安全專家 Roman Dedenok 解釋。
獲得信心後,受害者將收到“直接來自 Dropbox 的通知”在他的信箱上。這封官方電子郵件表明,被指控的審計師希望共享文件關於公司的財務狀況。正如卡巴斯基所說,“收件者已經做好準備,因此他們更有可能訪問 Dropbox 網站並嘗試查看文件”。透過這種兩步驟的策略,網路犯罪分子有效地緩解了用戶可能的擔憂。
一旦受害者打開該文件,傳輸到 Dropbox 的文件將使駭客能夠達到他們的目的。該文件將打開一個假的 Dropbox 彈出窗口,要求目標登錄“他的專業用戶名和密碼”。此欺騙性檔案會重新導向至旨在清除憑證的線上表單。陷阱關閉,駭客帶著敏感資訊消失。然後,該數據可用於策劃其他攻擊。
顯然,第三方要求提供專業證書的事實應該引起您的懷疑。卡巴斯基提醒“Dropbox 和外部審計員都不會知道您的工作密碼,因此無法驗證其真實性”。因此,沒有理由要求提供此資訊。
只有一條線索
此次網路攻擊是幾乎完美且無法察覺。事實上,只有一個要素可以讓目標明白這是一種欺騙。網路犯罪分子聲稱該電子郵件是透過«Dropbox應用程式安全上傳 »,安全下載服務。這項服務根本不存在,但駭客瞄準的員工很可能沒有註意到。
根據卡巴斯基的調查結果,該計劃被用於有針對性的攻擊。目前,操作模式僅在“孤立案例”。但是,我們建議您格外小心。
來源 : 卡巴斯基
