一個釣魚活動被發現透過假的語音信箱,騙取受害者披露自己的 Office 365 電郵權限,而且目標專門針對企業比較高調的員工,因為他們通常屬於中層或行政級別的管理層人員。
目的全為接觸敏感資料
根據研究人員透露,攻擊的目標都是一些高調的公司,主要在旅遊、娛樂和地址行業,當中有很多員工都成為被瞄準的目標,他們主要是中層管理和行政人員。這個釣魚活動的目標是盡量收集員工的登入權限資料,因為很有可能接觸到敏感資料,也有機會冒充公司的員工,以不同形式對公司做成傷害。如果受害員工輸入的密碼在其他服務上重複使用,更讓攻擊者有機會發動更多的攻擊。
訛稱登入以聽語音信箱
釣魚活動以一封訛稱收信者錯過了一個來電開始,然後要求收信者登入他們的帳號以聽取訊息,該郵件以 HTML 檔案附件形式把用戶帶到釣魚網站,而且很多時間有段錄有,令看起來更像真的語音信箱。HTML 檔案名為「10-August-2019.wav.html」和「Audio_Telephone_Message15-August-2019.wav.html」
在釣魚網頁上,受害者的電郵地址已經預先填上,只要求用戶填上密碼去登入帳號,當受害者輸入密碼會看到成功登入的訊息,然後被帶到真正的 office.com 登入網頁。研究人員認為,這個釣魚活動與其他不同之處,是利用音訊製造緊急的感覺,讓受害者更容易信以為真。
三組釣魚套件發動攻擊
經過深入調查,研究人員發現在這個釣魚活動中總共用了三組釣魚套件,雖然他們看起來接近完全相同,但從生成的 HTML 代碼和 PHP 腳本接受的參數就能區分他們。第一組套件在社交媒體和 ICQ 頻道內賣廣告,名稱為「Voicemail Scmpage 2019」,似授權碼方式操作,在讀取釣魚網站前需要核實授權碼,然後一個 data.txt 會建立到被感染的網站,它含有一系列訪客的 IP 地址、瀏覽器和日期等資料。
第二組釣魚套件名為「Office 365 Information Hollar」,與第一組十分相似。第三組套件並沒有名字,使用了之前套件的編碼但目標是 2017 年 Adobe 的用戶。研究人員估計可能是 2017 年原作者對套件進行修改,又或者新組織重用舊編碼,而第三組無名的套件比前兩套更流行,全部都會收集電郵地址、密碼、IP 地址 和受害者的位置。
主要攻擊行政人員
一般對企業的釣魚活動攻擊,都主要以下級職員為目標,其主要原因是他們的聯絡資料比較容找到,而這次的活動卻一反常態,主要瞄準行政人員,攻擊者透過社交媒體識別身份,人際網絡,並且追蹤和尋找攻擊目標。研究人員表示,雖然行政人員都主要傾向隱藏自己的電郵資料,但有時候為了提升自己或品牌的形象,令其他人和攻擊者能夠較容易找到。
要避免成為受害者,電郵用戶要在打開由不明人士發送的附件時要保持警剔,而且應該避免在不同的服務上使用相同的密碼,而使用雙重認證登入也是一個理想的做法。
資料來源:Threat Post