一种新的网络钓鱼骗局浮出水面,表明不良行为者在诱骗毫无戒心的受害者放弃其个人信息方面变得多么老练。
最新的网络攻击主要针对职位列表网站 Indeed。黑客从该网站发送一封电子邮件来欺骗就业机会。单击该链接后,它会将您发送到 Microsoft 365 登录页面以输入您的凭据。从这里你不会怀疑有什么不道德的事情,但下次你尝试登录你的 Microsoft 365 帐户时,你会发现你不仅收到信息不正确的错误消息,而且你的帐户不再可用。
据Bleeping Computer称,Menlo Security 的研究人员观察到了这种网络钓鱼骗局,该骗局的目标是电子制造、银行和金融、房地产、保险和物业管理等行业的美国高管。
网络攻击如此无缝,以至于能够通过一种称为 cookie 窃取的方法逃避 Microsoft 365 帐户的多因素身份验证。这种策略用于从知名网站窃取 cookie 并模仿其设计。通过侵入不经常刷新的程序的最近网络会话,复制页面的不良行为者可以看起来与常见网站的页面相同。 Cookie 窃取也被开发为绕过多因素身份验证。如果您在帐户上设置了安全功能,您可能会自己输入该功能,因为您在视觉上认为该网站值得信赖。
研究人员在 2022 年开始注意到 cookie 窃取攻击,目标是几个主要品牌,包括 Google Chrome、Amazon Web Services (AWS)、Azure、Slack 和 Electronic Arts。
在这种情况下,黑客使用一个名为 EvilProxy 的平台来执行 cookie 窃取,并制作一个看起来像真实 Microsoft 登录页面的页面。多重身份验证对于 Microsoft 365 来说很常见,因此用户将设置某种表单。
Indeed 电子邮件的添加使这种网络钓鱼骗局变得特别复杂,因为打开链接会触发开放重定向,这是一个弱点,允许不良行为者在点击看似合法的链接后将您引导至他们的邪恶网站。
这并不是近年来困扰微软服务的唯一网络钓鱼骗局。例如,上个月,一个黑客团队能够渗透到 Microsoft Teams 中,执行名为“DarkGate Loader”的网络钓鱼骗局。该计划以有关“假期安排变更”的虚假 Teams 消息为中心,但在下载时包含复杂的隐藏恶意软件。网络安全研究人员发现,黑客能够通过受损的 Office 365 帐户访问 Teams,甚至发现他们能够接管的不安全的电子邮件地址。
持续存在的垃圾邮件和网络犯罪促使 Gmail 和雅虎等电子邮件提供商对批量发件人制定了要求,作为安全措施。这些要求包括电子邮件身份验证、轻松取消订阅的能力和电子邮件保证,并将于 2024 年 2 月 1 日开始实施。谷歌表示,其中许多要求主要是作为基本的电子邮件卫生,但提出的目的是使它是一个行业标准。