如果突然收到GetShared的電郵通知,大家應該提高警剔,因為騙徒利用GetShared進行網絡釣魚的個案正在增加,詐稱有人透過該平台向收件者發送檔案,借壓縮檔來散播惡意程式。
借GetShared正式的通知作惡
受害者會收到來自GetShared的正常、正式的通知,有人向他發送一個檔案,當中包括檔案名稱和副檔名,其中一個個案中的檔案名稱為DESIGN LOGO.rar。訊息附有連結是典型的釣魚技倆,騙徒查詢附件頁目的價格,為了令整件事更加像宜,他們還會詢問送貨時間和付款詳情。
為甚麼使用GetShared和其他第三方服務?
保安方案通常都能夠在gateway層面過濾大部份垃圾、釣魚、詐騙電郵和惡意附件,借合法服務,例如Google Calendar或Dropbox發送電郵是騙徒繞過防護的常用而且有效的技倆,這些服務自然不願意作為網絡犯罪份子的幫兇,所以他們持續改良他們的應對措施,收緊註冊規則等,騙徒則不斷尋找新的服務去利用,GetShared就是這次的「幸運兒」。
網絡釣魚的蛛絲馬跡
對於一般用戶,在這個個案中,首先要問自己從某些第三方檔案分享服務進行業務查詢是否正常,即使有客戶有真正的業務查詢,需要透過外部服務傳輸檔案(例如訂單相關的文件),他們通常會先通過標準的電郵通訊進行安排,然後再向你發送大量通知,這可算是商務的禮儀的基本。當有人要求你透過第三方服務瀏覽文件,通常只有三個解釋:
- 保安引擎把文件標示為垃圾、釣魚或詐騙。
- 文件含有詐騙、釣魚或惡意網站連結。
- 文件受到感染或附件本身是惡意的執行檔而並非文件
在這些情況下,透過服務來發佈一個文件檔也包含一個隱藏的含意,使用戶與攻擊者取得聯繫,先試圖開始對話,然後便發動社交工程攻擊。至於這次個案的通知看起來特別可疑,主要是文件名稱和相關的內文不符,訊息指向一些貨品清單,但檔案名稱則似乎是一個設計項目。另外,發送者地址也明顯標示在通知內,快速地搜尋域名便顯示該電郵地址似乎被騙徒利用。
防範來自通知的攻擊
為防範公司受到來自GetShared或任何合法服務的詐騙電郵威脅,我們建議:
- 教導員工辨別潛在威脅
- 安裝可靠的保安方案在公司裝置,至少能防止執行惡意編碼或拒絕存取釣魚網站,防止受害者下載詐騙者發送的文件。
資料來源:Kaspersky Blog
