[[434134]]

釣魚攻擊者通過冒充網絡安全公司Proofpoint，并試圖竊取受害者的微軟Office 365和谷歌電子郵件的憑證。

據研究人員稱，他們發現了一個針對某家不知名的全球通信公司的攻擊活動，僅在該組織內就有近千名員工成為了攻擊目標。

他們在周四的一篇文章中解釋說，電子郵件聲稱這里面包含了一個Proofpoint發送的安全文件的鏈接，點擊該鏈接，受害者就會進入到一個虛假的Proofpoint網站的頁面，并包含了不同電子郵件服務商的登錄鏈接。該攻擊還使用了微軟和谷歌的登錄頁面對用戶進行攻擊。

該電子郵件使用的誘餌是一個自稱與抵押貸款支付有關的文件。其主題 "Re: Payoff Request "，這樣是為了更好的欺騙目標，使其認為這是一個合法的郵件，同時也增加了該程序的緊迫感。

根據分析，在電子郵件標題中添加'Re'是我們觀察到的騙子經常使用的一種攻擊策略，該符號意味著當前正在進行對話，可能會使受害者更快地點擊該電子郵件。

如果用戶點擊郵件中嵌入的 "安全的" 電子郵件鏈接，他們就會被引導到帶有Proofpoint品牌的釣魚攻擊欺騙頁面中。

研究人員解釋說，點擊谷歌和Office 365的按鈕， 用戶分別會被引導到谷歌和微軟的釣魚登錄頁面。這兩個頁面都要求受害者提供電子郵件地址和密碼。

研究人員指出，由于釣魚網站使用了許多用戶日常生活中經常使用的工作流程(即當文件通過云端與他們共享時收到電子郵件通知)，攻擊者希望用戶不會對這些電子郵件有太多的懷疑。

根據分析，當我們看到以前已經看過的電子郵件時，我們的大腦傾向于采用系統1的思維方式來思考并盡快采取行動。

在基礎設施方面，這封郵件是從法國南部的一個消防部門中被攻擊的電子郵件賬戶發出的。研究人員指出，這樣有助于釣魚網站躲避微軟的本地電子郵件安全過濾器的檢測。換句話說，它們根本就沒有被標記為垃圾郵件。

此外，這些釣魚網頁被托管在 "greenleafproperties[.]co[.]uk "父域名上。

該域名的WhoIs記錄顯示它最后一次更新是在2021年4月，URL目前會重定向到'cvgproperties[.]co[.]uk'域名上。這個十分簡短的網址和可疑的頁面增加了這個網站的不合法性。

像這樣的網絡攻擊會利用到社會工程學、冒充合法的品牌和使用合法的基礎設施來繞過傳統的電子郵件安全過濾器，并且降低用戶的警惕性。為了防止此類活動，研究人員提供了以下建議。

1、要注意社會工程學攻擊。用戶應該對電子郵件進行仔細的檢查，包括檢查發件人姓名、發件人電子郵件地址、電子郵件中的語言以及電子郵件中的任何邏輯不一致的地方(例如，為什么電子郵件來自.fr域名?為什么抵押貸款相關的通知會出現在我的工作郵箱中?)

2、加強密碼的安全性。在所有可能的商業和個人賬戶上部署多因素認證(MFA)，不要在多個網站/賬戶上使用相同的密碼，避免使用與公開信息相關的密碼(出生日期、周年紀念日等)。

本文翻譯自：https://threatpost.com/proofpoint-phish-microsoft-o365-google-logins/176038/如若轉載，請注明原文地址。