[[384165]]

研究人員警告說，犯罪分子最近針對至少1萬名微軟電子郵件用戶發動了釣魚攻擊，通過偽造來自知名的的郵件快遞公司聯邦快遞和DHL快遞的電子郵件來進行犯罪活動。

這兩起事件都以微軟電子郵件的用戶為攻擊目標，其目的是為了竊取他們的工作郵件賬戶憑證。他們還使用了來自Quip和Google Firebase這些合法域名上的釣魚頁面，從而讓釣魚郵件繞過郵件安全過濾器的掃描。

Armorblox的研究人員周二表示："郵件標題、發件人的名稱和內容看起來都非常的真實，讓受害者認為這些郵件真的分別來自于聯邦快遞和DHL快遞，我們經常會收到聯邦快遞的掃描文件或DHL快遞的電子郵件，大多數用戶會非常信任這些電子郵件，而不會詳細研究它們是否有可疑之處。"

釣魚郵件使用Quip、Google Firebase進行攻擊

這封偽造的來自美國跨國快遞服務公司聯邦快遞的釣魚郵件的標題是 "你有一個新的聯邦快遞要寄給你"，并注明了郵件的發送日期。

這封郵件中包含了一些文件的基本信息，使其看起來很正常。比如它的ID、頁數和文件類型等，以及包含的一個所謂的查看文件的鏈接。如果收件人打開了郵件，他們會收到一個托管在Quip上的文件。Quip是Salesforce軟件中的一個工具，它主要是提供文件、電子表格、幻燈片和聊天服務。

研究人員說："我們已經觀察到，惡意攻擊者仍然繼續會在Google Sites、Box和Quip(本案中)等合法服務器上托管釣魚頁面。這些服務大多數都有免費的版本，并且易于使用，這對全世界數百萬的辦公人群都非常友好，但不幸的是，這同時也降低了網絡犯罪分子發動網絡釣魚攻擊的門檻。"

這個頁面中含有聯邦快遞的標志，標題為 "您已收到了一些聯邦快遞的貨件"。然后，它還含有一個鏈接，可以讓受害者查看到所謂的文件。一旦受害者點擊了這個頁面，他們最終會被引導到一個類似于微軟登錄入口的釣魚頁面，該頁面托管在谷歌Firebase上，Firebase是谷歌為創建移動和網絡應用程序而開發的平臺。在過去的一年里，谷歌Firebase被越來越多的網絡攻擊犯罪分子用來避開系統的安全檢測。

值得注意的是，如果受害者在釣魚頁面上輸入他們的憑證，它就會重新加載登錄入口，并提示賬號錯誤的信息，要求受害者輸入正確的登錄憑證。

研究人員說："這表明網站可能存在一些后端的驗證機制，用來檢查輸入的憑證的真實性，另一種情況是，攻擊者可能希望獲得盡可能多的電子郵件地址和密碼，無論用戶輸入的憑證是否正確，錯誤信息都會一直出現。"

DHL快遞釣魚攻擊使用Adobe登錄框進行攻擊

有一個攻擊活動會冒充德國國際快遞公司DHL快遞，犯罪分子會用郵件告訴收件人 "你的包裹已經到達"，并在標題末尾注明他們的電子郵件地址。

郵件內容告訴收件人，由于填寫的快遞信息不正確，包裹無法遞送到他們的手中。然而，包裹實際上已經在郵局等待收件人來領取了。

該郵件提示收件人，如果想收到貨，請查看附件中的 "運輸文件"。附上的文件是一個HTML文件(標題為 "SHIPPING DOC")，打開后，頁面看起來像一個發貨文件的電子表格。

頁面預覽中疊加了一個冒充Adobe PDF閱讀器的登錄請求框。研究人員指出，攻擊者有可能是想用釣魚手段來獲取Adobe的憑證，其實更有可能是想獲取受害者的工作郵箱憑證。

研究人員說："登錄框中的電子郵件字段預先填寫了受害者的工作電子郵件，攻擊者希望這個頁面不會引起受害者的懷疑，盡快將他們的工作電子郵件密碼輸入到這個框中。"

與聯邦快遞的釣魚攻擊類似，當受害者在這個頁面上輸入他們的詳細信息時，頁面會返回一條錯誤信息。

犯罪分子利用當前的社會趨勢

COVID-19使越來越多的人開始轉向在電商平臺購買商品、雜貨和各種家用配件，而不是像以前一樣親自去商店購買，這一時期，運輸行業正處于快速發展階段。

網絡犯罪分子則正好利用了這一點。從最近的這些網絡釣魚郵件中可以看出，他們也對受害者利用了許多其他的引導誘惑，包括COVID-19救援基金、疫苗推廣和個人防護設備(PPE)等物質誘導。

Armorblox客戶總監Preet Kumar告訴Threatpost："在流行病期間，我們都在進行在線交付，這通常是非接觸式交付，因此用戶與聯邦快遞/DHL進行郵件通信在我們的生活中是非常常見的，攻擊者通常希望受害者能夠信任攻擊郵件中的信息，不要對郵件的內容考慮太多。"

本文翻譯自：https://threatpost.com/microsoft-fedex-phishing-attack/164143/如若轉載，請注明原文地址。