早在今年7月,CloudSEK研究人员就发现了一场大规模的网络钓鱼活动,黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日,经过4个月的时间,这场钓鱼活动态势非但没有减弱,反而变本加厉,其规模可能比之前认为的更大。
CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称,该公司发现了另外一组网络钓鱼域,这些域使用与 7 月份类似的命名方案进行注册,以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域,并针对多个行业,例如整个中东的旅行和旅游、石油和天然气、房地产和投资。
该公司还警告说,他们发现了一些针对引诱用户的骗局:“除了供应商注册和合同招标外,他们还利用虚假的工作机会和投资机会来蒙蔽受害者。”上述网络钓鱼项目还可能被其他黑客团体利用,以特定用户为目标,窃取他们的密码、文件、加密钱包和其他敏感信息。
在CloudSEK发现的所有域中,有些只启用了电子邮件服务器,而另一些则设置了网站来诱骗用户认为它们是合法企业。一些诈骗域会重定向到合法域以诱骗受害者信任网络钓鱼电子邮件。CloudSEK 解释说:“该活动对删除或托管禁令具有弹性,因为它使用具有类似模板的预存储静态网页。这些是在禁令的情况下从一个域上传到另一个域。”
该公司表示,他们分析了 35 个网络钓鱼域,其中 90% 的目标是阿布扎比国家石油公司 (ADNOC)、沙迦国家石油公司 (SNOC) 和阿联酋国家石油公司 (ENOC),并且托管地区在北美。这种偏好是因为该地区有几个负担得起的供应商可供选择,此外,服务提供商也需要时间来处理删除请求。
从技术角度来看,这家安全公司表示,因为不需要像恶意软件活动那样复杂的基础设施,所以企业电子邮件妥协 (BEC) 的成本效益一般比很高,只需要带有电子邮件服务器的域名,以及来自第三方的域名,足以进行这些攻击。
CloudSEK 表示,合法地追捕这些攻击者可能会阻碍他们的行动,但考虑到一些域名提供商可能在一个国家而邮件服务器在另一个国家,所以这是一项具有挑战性的任务。因此,最好的解决方案是采取预防措施,从一开始就规避它们发生。比如对员工进行 BEC 诈骗培训,避免从未知来源下载可疑文件或点击可疑链接,启用文件扩展名的可见性(在Windows系统上),以便在下载未知扩展名的文件之前发现它们,还有为支付制定多级身份验证和识别机制。
转自 E安全,原文链接:https://mp.weixin.qq.com/s/nilg2fZ6QR2MAJENzhrN1A
封面来源于网络,如有侵权请联系删除
