攻擊者冒充DoT進(jìn)行了為期兩天的釣魚(yú)詐騙攻擊

威脅者在為期兩天的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)中冒充美國(guó)交通部(USDOT)，他們通過(guò)使用多種策略，為了使攻擊活動(dòng)看起來(lái)更合法，他們還創(chuàng)建了虛假的聯(lián)邦網(wǎng)站的域名， 來(lái)逃避安全檢測(cè)。

在8月16日至18日期間，研究人員共發(fā)現(xiàn)了41封釣魚(yú)郵件，這些郵件都以國(guó)會(huì)最近通過(guò)的1萬(wàn)億美元基礎(chǔ)設(shè)施方案中的項(xiàng)目投標(biāo)為誘餌進(jìn)行詐騙。

此次攻擊活動(dòng)主要以工程、能源和建筑等行業(yè)的公司為攻擊目標(biāo)，這些公司可能會(huì)與美國(guó)交通部合作，并向潛在的受害者發(fā)送詐騙電子郵件，其中他們被告知，美國(guó)交通部正邀請(qǐng)他們通過(guò)點(diǎn)擊一個(gè)帶有 "點(diǎn)擊這里投標(biāo) "字樣的巨大的藍(lán)色按鈕來(lái)提交一個(gè)部門(mén)項(xiàng)目的投標(biāo)。

這些電子郵件是從亞馬遜8月16日注冊(cè)的一個(gè)域名transportationgov[.net]發(fā)出的。根據(jù)它的創(chuàng)建日期，似乎表明該網(wǎng)站正是專(zhuān)門(mén)為網(wǎng)絡(luò)釣魚(yú)活動(dòng)設(shè)立的。

對(duì)于熟悉政府網(wǎng)站的人來(lái)說(shuō)，政府網(wǎng)站通常會(huì)有一個(gè).gov的后綴，從這方面來(lái)看，這個(gè)域名會(huì)顯得很可疑。然而，對(duì)于習(xí)慣于快速瀏覽的人來(lái)說(shuō)，這個(gè)域名看起來(lái)可能像是一個(gè)正規(guī)的網(wǎng)站。

欺騙受害者

如果人們點(diǎn)擊鏈接，他們會(huì)被引導(dǎo)到transportation.gov.bidprocure.secure.akjackpot[.com]網(wǎng)站，有'transportation'、'gov'和'secure'等看起來(lái)很正規(guī)的子域名。然而，該網(wǎng)站的基礎(chǔ)域名akjackpot[.]com實(shí)際上是在2019年注冊(cè)的，該基礎(chǔ)域名上可能運(yùn)行的是一個(gè)馬來(lái)西亞人的在線(xiàn)賭場(chǎng)網(wǎng)站。要么該網(wǎng)站已經(jīng)被劫持了，要么網(wǎng)站的所有者本身就是利用它來(lái)冒充美國(guó)聯(lián)邦貿(mào)易委員會(huì)的釣魚(yú)者。

一旦進(jìn)入了假的投標(biāo)網(wǎng)站，用戶(hù)就會(huì)被指示點(diǎn)擊一個(gè) "投標(biāo) "按鈕，并用他們的電子郵件提供商進(jìn)行登錄。它還指示他們?nèi)绻腥魏螁?wèn)題，可以與另一個(gè)假域名mike.reynolds@transportationgov[.]us的所有者進(jìn)行聯(lián)系。

一旦受害者關(guān)閉了指示，他們就會(huì)被引導(dǎo)到一個(gè)與真實(shí)的美國(guó)交通部網(wǎng)站非常相像的網(wǎng)站上，這個(gè)網(wǎng)站其實(shí)是攻擊者將政府網(wǎng)站的HTML和CSS復(fù)制到他們的主機(jī)上做出來(lái)的。

在詐騙完成之后，威脅者還復(fù)制和粘貼了一個(gè)關(guān)于如何驗(yàn)證美國(guó)政府網(wǎng)站真實(shí)性的警告，這樣可以提醒受害者，他們被騙了，因?yàn)樗麄円庾R(shí)到這個(gè)釣魚(yú)網(wǎng)站的域名是以.com結(jié)尾，而不是.gov或.mil。

一旦進(jìn)入這個(gè)假冒的美國(guó)交通部網(wǎng)站，受害者就會(huì)被邀請(qǐng)點(diǎn)擊一個(gè) "點(diǎn)擊這里投標(biāo) "按鈕，還會(huì)出現(xiàn)一個(gè)帶有微軟標(biāo)志和 "用你的電子郵件提供商登錄 "指示的憑證收集表格。第一次嘗試輸入憑證時(shí)會(huì)遇到ReCAPTCHA驗(yàn)證，合法網(wǎng)站一般會(huì)將其作為網(wǎng)站的安全組件。然而，攻擊者在這時(shí)就已經(jīng)獲取了憑證。

如果受害者第二次嘗試輸入證書(shū)，就會(huì)出現(xiàn)一個(gè)錯(cuò)誤信息，然后他們會(huì)被引導(dǎo)到真正的美國(guó)交通部網(wǎng)站，釣魚(yú)者經(jīng)常將這一步作為最后一步來(lái)進(jìn)行執(zhí)行。

躲避設(shè)備的檢測(cè)

雖然攻擊者在他們的攻擊活動(dòng)中沒(méi)有使用任何新的網(wǎng)絡(luò)釣魚(yú)技巧，但正是這種新模式的戰(zhàn)術(shù)組合使他們能夠繞過(guò)安全的電子郵件網(wǎng)關(guān)來(lái)進(jìn)行攻擊。

創(chuàng)建一個(gè)新的域名，巧妙的利用當(dāng)前的事件，冒充一個(gè)著名的機(jī)構(gòu)，就可以發(fā)起一次憑證竊取攻擊，這些釣魚(yú)攻擊者想出了一個(gè)與所有已知攻擊剛好不同的攻擊方式，很好的躲避了標(biāo)準(zhǔn)的檢測(cè)方法。使用新創(chuàng)建的域名可以使違法的釣魚(yú)郵件通過(guò)SPF、DKIM和DMARC等標(biāo)準(zhǔn)的電子郵件認(rèn)證。

由于它們的攻擊域名等都是全新的，它們以前也從未出現(xiàn)過(guò)，也沒(méi)有出現(xiàn)在傳統(tǒng)的反釣魚(yú)工具所參考的威脅情報(bào)中。并且這些網(wǎng)站看起來(lái)沒(méi)有惡意，人們很容易上當(dāng)。

參考及來(lái)源：https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/

原文來(lái)源：嘶吼專(zhuān)業(yè)版