近日，sophos警告警惕偽裝來自HP掃描儀復(fù)印機的郵件，誘騙用戶打開惡意鏈接，感染木馬。

在商務(wù)工作環(huán)境下，往往是拿紙質(zhì)件去掃描、復(fù)印，然后掃描儀或復(fù)印機就會自動往工作郵箱發(fā)送帶附件的郵件，附件就是剛剛復(fù)印完或掃描完的電子件。而攻擊者正是利用這個使用習(xí)慣，偽造來自這些設(shè)備給用戶發(fā)郵件，過往也發(fā)現(xiàn)過附件為惡意的PDF文件。

而近日，sophos監(jiān)測到，有惡意郵件偽造來自HP設(shè)備，給用戶發(fā)送郵件，內(nèi)容是提示掃描完畢給用戶發(fā)送電子版的掃描件。誘騙用戶點擊惡意鏈接地址，訪問一個俄羅斯的網(wǎng)頁。

目前sophos識別其為Mal/ExpJS-N，如下圖所示：

當然你可以認為這樣也中招的人很少，但是，如果是經(jīng)常處理文檔（有可能是機密文檔），經(jīng)常會掃描的工作人員，中招的可能性就相對會大了。攻擊方總是挖空心思，撒網(wǎng)式攻擊，而防守方卻需要花費大量成本提高員工的安全意識才能防范。