網絡犯罪份子要讓電郵攻擊成功,首先要讓訊息送到受害者面前,在較早前有GetShared的通知被利用,最近更有騙徒把客製的訊息放入Microsoft 365向新訂閱者發送的感謝訊息內。
真正的Microsoft電郵內含「驚喜」
攻擊由Microsoft向收件者發送感謝購買Microsoft 365 Apps for Business訂閱的真實電郵開始,電郵確實由合法的地址microsoft-noreply@microsoft.com發出,該電郵地址屬頂級的聲譽,所以能輕鬆通過任何電郵伺服器的過濾,而電郵內容的確是關於感謝收件者購買Microsoft 365 Apps for Business訂閱,價值587.95美元。不過騙局的關鍵在於攻擊者加到帳單資料的部份,原本這部份含有訂閱者公司的名稱和帳單地址,然而騙徒就把資料換成自己的電話號碼,並鼓勵收件者在有需要協助時致電「Microsoft」,騙徒明顯是針對公司的僱員。
騙徒利用了員工普遍害怕購買了昂貴又不必要的東西,為工作帶來麻煩的心理,由於透過電郵並不是解決的方法(電郵來自no-reply的地址),受害者只有倚望利用提供的電話號碼去解決問題。
電話要求安裝支援軟件
如果受害者中計並決定致電由騙徒提供的電話號碼,試圖查詢購買訂閱的問題,騙徒會使用社交工程技倆。有Reddit用戶在收到類似的電郵後致電查詢,接電話的對方堅持要求安裝某支援軟件,然後發送一個EXE檔案,而該檔案含有RAT (Remote Access Trojan)或類似的東西,受害者原本沒有察覺異常,直至騙徒承諾退款到他們的銀行帳號,這裡露出危險的訊號,因為他們不需要存取受害者銀行帳戶資料,隨後更要求受害者登入網上銀行,檢查交易是否成功。
受害者相信安裝在他們電腦上的軟件,是讓攻擊者能攔截他們登入憑證的惡意程式,幸好他們及早發現並且掛線,在相同的討論中有其他Reddit用戶回報有相似的電郵含有不同的聯絡資料。
使用真正Microsoft地址發送釣魚電郵
雖然騙徒如何能夠發送Microsoft通知給受害者仍然是個謎,但有其他Reddit用戶提出一個頗具說服力的說法,他們認為騙徒使用了被盜憑認或試用版來存取Microsoft 365,再利用BCC或在購買訂閱時輸入受害者的電郵地址的方法,他們就能利用Microsoft的通知向受害者發送電郵。也有一種說法是騙徒取得一個Microsoft訂閱的帳號存取,然後使用帳單資料重發的功能,再指定目標用戶為收件者。無論哪種方法,攻擊者的目的是更改帳單資料,也是Microsoft通知唯一能改動的部份,並以自己的電話號碼取代。
防範來自官方電郵通知的詐騙
騙徒不斷尋找新的詐騙方法,利用合法的服務更容易讓受害者掉入陷阱,要避免成為下一個受害者,除了科技的防護以外,行政管理也需要留意:
資料來源:Kaspersky Blog
