網絡釣魚攻擊越來越多精密的針對性攻擊,更在過程中加入不同的合法網上服務,透過社交工程引誘受害者掉入陷阱,近日就發現一個多階段的網絡釣魚活動,其中涉及相當普及的Dropbox。
第一封電郵
攻擊首先由一封來自真實的審計公司電郵開始,送信者聲稱嘗試傳送經過審計的財務報告,但因為容量對電郵太大而失敗,所以把檔案上傳到Dropbox,值得注意是電郵是發送自真實的公司電郵伺服器(攻擊者已事前騎劫該郵箱),對任何電郵保安系統而言,該電郵完全合法,與正常的商務電郵無異,當中並沒有連結、發送自合法公司地址,只是通知收件者通過電郵發送審核報告失敗,有關訊息自然會引起會計師的關注,並含有免責聲明,內容是機密及僅供收件人使用,發送的公司也頗具名聲,所以有十足說服力。
唯一的可疑之處是電郵聲稱使用Dropbox Application Secured Upload重新發送,現實中並沒有這種服務,上載到Dropbox的檔案可以透過密碼保護,僅此而已,真正的目的是讓收件者有心理準備,下載報告需要某些憑證。
第二封電郵
第二封電郵是來自Dropbox的通知,聲稱較早前電郵中的審計員已分享一個名為「audited financial statements」的檔案,並要求進行檢視、簽署並送回進行處理。這封信也沒有露出馬腳的地方,它含有一條完全合法的網上存取服務連結,如果該通知之前沒有另一封電郵,收件者便可能會直接無視,但是當收件者已有準備,便很可能到Dropbox網站嘗試查看文件。
Dropbox檔案
當受害者點擊連結,就會看到一個矇矓的文件畫面及一個彈出視穿,要求輸入辦公室的憑證,不過眼前所見都是假象,無論是矇矓的背景還是有按鍵的視窗,都是PDF檔案內一張圖片而已,受害者甚至無需點擊「VIEW DOCUMENT」按鍵,整帳圖就是一個巨大按鍵,背後是連住腳本啟動輸入登入憑證,這才是攻擊者的目的。
其實所有公司的員工都應該要清楚知道,工作密碼應該只在清楚屬於他們公司的網站內輸入,無論是Dropbox或外來審計員即使知道你工作密碼,也無法驗證其真實性。
兩階段釣魚需要兩階段防護
黑客盜竊公司登入憑證的方法越來越精密,因此我們建議採取多層式的防護措施,首先是公司電郵伺服器的防護,其次就是在所有連接互聯網的工作裝置上,可裝具備防釣魚技術的可靠防護方案。
資料來源:Kaspersky Blog
