网络罪犯继续设计向最终用户发送网络钓鱼电子邮件的新方法,而Cofense网络钓鱼防御中心(PDC)发现了一种新的网络钓鱼活动,该活动使用日历邀请附件尝试绕过电子邮件网关。
该公司的研究人员在Proofpoint和Microsoft保护的多个企业电子邮件环境中发现了这一新活动。Cofense假定攻击者相信,通过将网络钓鱼URL放入日历邀请中,可以避免自动分析。
活动中使用的网络钓鱼电子邮件的主题为“来自邮件中心的欺诈检测”,发件人的显示名称为Walker。但使用的电子邮件地址似乎是合法的,并且可能来自帐户被盗的学区。实际上,Cofense观察到此活动中使用了几个受感染的帐户,因为使用受感染的Office 365帐户允许邮件绕过依赖DKIM / SPF的电子邮件筛选器。
该电子邮件使用经典诱饵“用户银行帐户上的可疑活动”的版本来诱骗用户打开它。电子邮件的附件是日历邀请,其中包含指向虚假邀请的链接。
当用户单击日历邀请时,他们将被重定向到位于Microsoft的Sharepoint网站上的简单文档,其中包含另一个链接。
如果受害者继续前进并点击此第二链接,他们将从sharepoint.com重定向到Google托管的网络钓鱼站点。但是,这不是网络罪犯第一次使用Google的网站之一来托管其网络钓鱼诈骗,由于这种做法易于使用以及该域名随附的内置SSL证书,这种做法正变得越来越普遍。
然后,向用户显示一个令人信服的Wells Fargo银行页面,该页面要求提供各种帐户信息,包括登录详细信息,PIN和各种帐号以及电子邮件凭证。如果用户确实提供了所有这些信息,则最终他们将被重定向到实际的Wells Fargo登录页面,以使他们认为自己已经成功保护了自己的帐户。
这次最新的网络钓鱼活动再次提醒人们,企业和个人在检查电子邮件时都需要保持警惕,因为网络犯罪分子继续寻找新的方法来绕过网关并将骗局传递给用户。
