攻擊者冒充DoT進(jìn)行了為期兩天的釣魚(yú)詐騙攻擊
威脅者在為期兩天的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)中冒充美國(guó)交通部(USDOT),他們通過(guò)使用多種策略,為了使攻擊活動(dòng)看起來(lái)更合法,他們還創(chuàng)建了虛假的聯(lián)邦網(wǎng)站的域名, 來(lái)逃避安全檢測(cè)。
在8月16日至18日期間,研究人員共發(fā)現(xiàn)了41封釣魚(yú)郵件,這些郵件都以國(guó)會(huì)最近通過(guò)的1萬(wàn)億美元基礎(chǔ)設(shè)施方案中的項(xiàng)目投標(biāo)為誘餌進(jìn)行詐騙。
此次攻擊活動(dòng)主要以工程、能源和建筑等行業(yè)的公司為攻擊目標(biāo),這些公司可能會(huì)與美國(guó)交通部合作,并向潛在的受害者發(fā)送詐騙電子郵件,其中他們被告知,美國(guó)交通部正邀請(qǐng)他們通過(guò)點(diǎn)擊一個(gè)帶有 "點(diǎn)擊這里投標(biāo) "字樣的巨大的藍(lán)色按鈕來(lái)提交一個(gè)部門項(xiàng)目的投標(biāo)。
這些電子郵件是從亞馬遜8月16日注冊(cè)的一個(gè)域名transportationgov[.net]發(fā)出的。根據(jù)它的創(chuàng)建日期,似乎表明該網(wǎng)站正是專門為網(wǎng)絡(luò)釣魚(yú)活動(dòng)設(shè)立的。
對(duì)于熟悉政府網(wǎng)站的人來(lái)說(shuō),政府網(wǎng)站通常會(huì)有一個(gè).gov的后綴,從這方面來(lái)看,這個(gè)域名會(huì)顯得很可疑。然而,對(duì)于習(xí)慣于快速瀏覽的人來(lái)說(shuō),這個(gè)域名看起來(lái)可能像是一個(gè)正規(guī)的網(wǎng)站。
欺騙受害者
如果人們點(diǎn)擊鏈接,他們會(huì)被引導(dǎo)到transportation.gov.bidprocure.secure.akjackpot[.com]網(wǎng)站,有'transportation'、'gov'和'secure'等看起來(lái)很正規(guī)的子域名。然而,該網(wǎng)站的基礎(chǔ)域名akjackpot[.]com實(shí)際上是在2019年注冊(cè)的,該基礎(chǔ)域名上可能運(yùn)行的是一個(gè)馬來(lái)西亞人的在線賭場(chǎng)網(wǎng)站。要么該網(wǎng)站已經(jīng)被劫持了,要么網(wǎng)站的所有者本身就是利用它來(lái)冒充美國(guó)聯(lián)邦貿(mào)易委員會(huì)的釣魚(yú)者。
一旦進(jìn)入了假的投標(biāo)網(wǎng)站,用戶就會(huì)被指示點(diǎn)擊一個(gè) "投標(biāo) "按鈕,并用他們的電子郵件提供商進(jìn)行登錄。它還指示他們?nèi)绻腥魏螁?wèn)題,可以與另一個(gè)假域名mike.reynolds@transportationgov[.]us的所有者進(jìn)行聯(lián)系。
一旦受害者關(guān)閉了指示,他們就會(huì)被引導(dǎo)到一個(gè)與真實(shí)的美國(guó)交通部網(wǎng)站非常相像的網(wǎng)站上,這個(gè)網(wǎng)站其實(shí)是攻擊者將政府網(wǎng)站的HTML和CSS復(fù)制到他們的主機(jī)上做出來(lái)的。
在詐騙完成之后,威脅者還復(fù)制和粘貼了一個(gè)關(guān)于如何驗(yàn)證美國(guó)政府網(wǎng)站真實(shí)性的警告,這樣可以提醒受害者,他們被騙了,因?yàn)樗麄円庾R(shí)到這個(gè)釣魚(yú)網(wǎng)站的域名是以.com結(jié)尾,而不是.gov或.mil。
一旦進(jìn)入這個(gè)假冒的美國(guó)交通部網(wǎng)站,受害者就會(huì)被邀請(qǐng)點(diǎn)擊一個(gè) "點(diǎn)擊這里投標(biāo) "按鈕,還會(huì)出現(xiàn)一個(gè)帶有微軟標(biāo)志和 "用你的電子郵件提供商登錄 "指示的憑證收集表格。第一次嘗試輸入憑證時(shí)會(huì)遇到ReCAPTCHA驗(yàn)證,合法網(wǎng)站一般會(huì)將其作為網(wǎng)站的安全組件。然而,攻擊者在這時(shí)就已經(jīng)獲取了憑證。
如果受害者第二次嘗試輸入證書(shū),就會(huì)出現(xiàn)一個(gè)錯(cuò)誤信息,然后他們會(huì)被引導(dǎo)到真正的美國(guó)交通部網(wǎng)站,釣魚(yú)者經(jīng)常將這一步作為最后一步來(lái)進(jìn)行執(zhí)行。
躲避設(shè)備的檢測(cè)
雖然攻擊者在他們的攻擊活動(dòng)中沒(méi)有使用任何新的網(wǎng)絡(luò)釣魚(yú)技巧,但正是這種新模式的戰(zhàn)術(shù)組合使他們能夠繞過(guò)安全的電子郵件網(wǎng)關(guān)來(lái)進(jìn)行攻擊。
創(chuàng)建一個(gè)新的域名,巧妙的利用當(dāng)前的事件,冒充一個(gè)著名的機(jī)構(gòu),就可以發(fā)起一次憑證竊取攻擊,這些釣魚(yú)攻擊者想出了一個(gè)與所有已知攻擊剛好不同的攻擊方式,很好的躲避了標(biāo)準(zhǔn)的檢測(cè)方法。使用新創(chuàng)建的域名可以使違法的釣魚(yú)郵件通過(guò)SPF、DKIM和DMARC等標(biāo)準(zhǔn)的電子郵件認(rèn)證。
由于它們的攻擊域名等都是全新的,它們以前也從未出現(xiàn)過(guò),也沒(méi)有出現(xiàn)在傳統(tǒng)的反釣魚(yú)工具所參考的威脅情報(bào)中。并且這些網(wǎng)站看起來(lái)沒(méi)有惡意,人們很容易上當(dāng)。
本文翻譯自:https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/如若轉(zhuǎn)載,請(qǐng)注明原文地址。
