研究人员发现了一项新的网络钓鱼活动,旨在从北美、欧洲和亚洲的政府部门窃取登录凭据,目前还不知道幕后黑手是谁。
总体而言,美国、加拿大、中国、澳大利亚、瑞典等国家中的22个组织已经明确遭受此次网络钓鱼攻击。攻击方式都差不多,涉及与目标政府机构有关的电子邮件,欺骗受害者点击电子邮件链接,然后输入其用户名和密码。
受影响的组织包括:
美国——美国能源部、商务部、退伍军人事务部、新泽西州房屋及抵押金融局、马里兰州政府采购服务部、佛罗里达州管理服务部、交通部、住房和城市发展部 以及DHL国际快递服务公司;
加拿大——政府电子采购服务部;
墨西哥——政府电子采购服务部;
秘鲁——公共采购中心;
中国——顺丰快递服务公司、交通运输部;
日本——经济产业省;
新加坡——工业和贸易部;
马来西亚——国际贸易和工业部;
澳大利亚——政府电子采购部;
瑞典——政府机关国家公共采购局;
波兰——贸易和投资署;
南非——政府采购处。
攻击者向目标受害者发送了诱饵文档,诱饵文档使用目标政府所在国家/地区的官方语言。只有南非诱饵邮件例外,该文件以英文撰写,但是南非拥有多种官方语言(包括英语)。下图是研究人员发现的一些诱饵文档。
邮件中的内容也根据情况有所区别,例如,针对美国商务部的网络钓鱼电子邮件中就包含与商业产品和服务竞标有关的信息,并鼓励受害者打开诱饵文档,文档中包含一个嵌入式链接,点击后会将用户重定向到一个钓鱼网站。
与电子邮件和诱饵文档一样,网络钓鱼网站看起来就是代理商或公司所使用的真实网站。这些网站使用的合法名称、信息和文件,以使其可以以假乱真。
所有网站都使用“cPanel, Inc”颁发的域名验证(DV)证书,以窃取在线凭据为目标。子域名的命名方式也差不多,大都以安全、验证、竞标或发货为主题。下图是网络钓鱼网站的示例。
尽管研究人员发现钓鱼网站的域名都托管在土耳其和罗马尼亚。但是并没有办法确定谁是攻击的幕后黑手,因为攻击者可以在世界上任何地方建立网络钓鱼网站,然后利用任何国家来托管这些域。在Anomali的调查过程中,总共发现了62个域和122个网络钓鱼网站。
这次的网络钓鱼活动主要针对政府招标和采购服务。对这些服务的关注表明,攻击者对政府的潜在承包商和/或供应商感兴趣,所以攻击的目的可能是为了击败竞争对手,也有可能是为了了解潜在供应商与相关政府之间的信任关系。诸如此类的活动很难防范,因为除非托管网络钓鱼页面的域被认为是恶意的,否则网站防火墙将不会阻止它。