有研究人員近日發現一個名為ONNX Store的網絡釣魚市場,為網絡犯罪份子提供工具騎劫Microsoft 365帳號,包括繞過雙重認證(2FA),並透過Telegram的bot進行全自動化的銷售,對企業的Microsoft 365和Office 365電郵帳號帶來威脅。
含有QR Code的惡意附近和繞過2FA
根據研究員的報告描述,有攻擊利用ONNX Store的釣魚工具攻擊數家金融機構的員工,受害者首先會收到一封看似來自HR部門,以報酬作為主題的電郵,郵件中的PDF附件內含有一個QR Code,掃瞄後可存取關於重要薪金資訊的受保護文件,目的是讓受害者打開無法在電腦運作的連結(通常是因為反網絡釣魚防護),但在私人的智能電話則是另一回事。打開連結後受害者會被帶到冒充Microsoft 365的登入網頁,並要求輸入他們的用戶名稱和密碼,以及一次性2FA碼,所有資料當然直接發送到攻擊者手上,通常一次性2FA碼只有一段很短的有效時限(普遍只有30秒),所以為了加速傳送資料速度,釣魚工具使用了WebSocket協定,提供即時通訊。
在得到了登入憑證和仍然有效的一次性2FA碼,攻擊者便會立即登入帳號並完全取得受害者的通訊,藉此進行商用電郵攻擊(business email compromise, BEC)和其他攻擊。
網絡釣魚服務
ONNX Store透過即時通訊軟件Telegram的bot進行全自動化的銷售,所有與用戶的互動都有機械人進行,製作者提供的網絡釣魚服務以訂閱形式出售,以收集Microsoft 365帳號密碼為例,按月訂閱只需200美元(沒有2FA),如果包含2FA則需要400美元。即使是小型網絡犯罪份子也能支付的價錢,就能取得一套精心調整過的網絡釣魚工具,購買者只需要選擇一個可攻擊的目標並設計一個可轉化為金錢的方案。
防範進階網絡釣魚
因為低門檻所以令網絡釣魚服務模式成為一種不可忽視的威脅,擁有危險工具的網絡犯罪份子伸出的魔爪更加廣範,而企業面對進階的網絡釣魚攻擊,我們建議:
資料來源:Kaspersky Blog