據Bleeping Computer 9月19日消息，針對美國政府承包商的持續性網絡釣魚攻擊呈逐漸擴大之勢，攻擊者正采用更加難以分辨的“誘餌”制作釣魚文件。

在這些釣魚攻擊中，攻擊者通過偽造利潤豐厚的政府項目投標請求，通過電子郵件將承包商騙至仿冒合法聯邦機構門戶的網絡釣魚頁面。

這與 INKY 在 2022 年 1 月報告的釣魚操作基本相同，攻擊者使用隨附的 PDF 文件，其中包含有關美國勞工部項目招標流程的說明。但根據Cofense在9月19日發布的情報，這些攻擊者已經擴大了他們的目標，如今的冒充對象還涵蓋美國交通部和商務部。

更加“精致”的釣魚文件

根據Cofense的情報，攻擊者在之前已經頗有成效的釣魚文件基礎之上采用了更加多樣且精細化的設計，并刪除了在之前版本中可能露出馬腳的細節。

在Cofense例舉的樣例中，釣魚文件在首頁采用了更大的徽標，并且更傾向于采用包含PDF的鏈接而不是直接在郵件中置入附加文件。此前，PDF 曾經包含有關如何投標的詳細說明，其中包含過多的技術信息，而現在，這些信息已被簡化，并在顯要位置顯示指向網絡釣魚頁面的鏈接。

釣魚活動中使用的新版PDF

此外，PDF 之前的簽名者是edward ambakederemo，而現在，文檔中的元數據與冒充的部門更加匹配。例如由威斯康星州交通部發送的“誘餌”將帶有WisDOT的簽名。

在釣魚網站域名方面，除了顯示.gov冒充政府機構外，攻擊者現在還使用長域名，如transportation.gov bidprocure.secure akjackpot.com，以便在無法從URL欄里顯示完整鏈接的移動瀏覽器中打開時看起來像是合法鏈接。

在試圖誘騙訪問者輸入其 Microsoft Office 365 帳戶憑證的網絡釣魚頁面上，攻擊者現在還添加了驗證碼識別步驟，以確保他們沒有采用機器人輸入。

在竊取憑證之前添加了驗證碼識別步驟

在這類釣魚攻擊事件中，使用的電子郵件、PDF和網站基本上都是照抄真實的招標文件和國家招標門戶網站的實際內容，因此很難看出欺詐的痕跡，唯一的防御措施是除了檢查內容本身外，還要包括其他所有細節，如發送地址、登陸網址，并最終通過搜索引擎訪問投標門戶網站，而不是按照提供的鏈接。