freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

害怕被投诉?以“客户投诉”为名义的电子邮件骗局出现了!
2021-11-10 10:06:40

如果你所从事的是服务行业,或者你是乙方,那么请回想一下,你有没有遇到过愤怒的客户冲你喊:“你等着,我一定要投诉你”,或者类似的话?

我相信大部分的乙方和“打工人”都有过类似的经历。不过,这一心态被黑客所掌握。近期,以”客户投诉“为主题的电子邮件骗局出现了!

内疚 + 恐惧 = 匆忙

这些网络黑客掌握了”打工人“的心酸,让”打工人“误以为收到了投诉,自己”不仅给整个公司带来了严重的不便,而且给自己的领导带来更多不便“的邮件:

从技术上讲,这是一种有针对性的攻击,在行话中称为”鱼叉式网络钓鱼“,因为它会尽量直呼你的名字,并假装成发件人就是你的部门领导,让邮件看起来更为可信。

然而,从技术上讲,对于曾经收到(或获得)您过去任何时间发送的电子邮件的任何人来说,这种都算是技术上的小把戏。比如,一般的电子邮件中几乎都在标题中包含一行文本,如下所示:

来自:Paul·Ducklin <duck@sophos.com>

仅从该文本中,可以合理地猜测:

我的电子邮件客户端称呼我为Paul Ducklin。

我的同事可能会叫我”duck“。(还有其他事情,但鸭子就是其中之一。)

我的公司是一个名为Sophos的组织。

毕竟,一旦你过滤掉了outlook.comgmail.comyahoo.com并与著名的网络邮件服务相关的其他领域,电子邮件地址留下的是很可能会成为公司的相关电子邮件身份。

处于特殊风险中的初级员工

如你所见,”鱼叉式网络钓鱼“不一定是高科技网络犯罪,它只针对值得花大量时间研究、跟踪各大型企业或机构,以获取个人的详细信息。

即使所有骗子都有一个表单的文本字符串,$YOURNAME <$YOU@$BIZNAME.example>骗子也很容易将其适合这样的模板:

Attention: $YOURNAME
Dear $YOU, 

  You're in big trouble. I suggest you bring 
  your coat when you come to the meeting.

  Yours sincerely,

  S. O. Meone
  $BIZNAME Outsourcing Manager

仅凭落款的管理层名字一项,就足以让你觉得这就是我的领导发给我的邮件,如果你为公司的外包部门工作,并且不经常跟公司高层联系的话,更容易信以为真。

初级员工最有可能受到那些​​决心投诉的威胁,而且,老实说,如果你曾经在支持部门或者售后部门工作过,那么当来电者说”我要投诉你“的时候,一般不会向自己的领导报告,除非来电非常咄咄逼人或具有威胁性,它才能被记录在案。

换句话说,当你收到一封你不认识的“同事”的电子邮件,他也不认识你,但他似乎被卷入了一场你甚至都不知道的客户“纠纷”中,你会怎么想?是不是会很快的觉得是自己拖累了这个压根”不认识的同事“?

事实上,我们早期收到的这种骗局的一个变种正是采用了这种方法,以外包团队中的某个人的身份签字。

我们不确定cpomplaint主题行中的单词是否是一个简单的错字,因为它从未重复过,或者是故意回应某些收件人暂时将他们的电子邮件过滤器中的单词投诉列入黑名单:

注意错误

在这种情况下的好消息是,在我们收到的第一封电子邮件中,骗子并没有在他们的游戏中处于领先地位,因为链接将我们带到了这里:

看起来他们好像混淆了两个不同鱼叉式网络钓鱼活动的电子邮件和网络链接,一个与客户投诉有关,另一个与应收账款或财务有关。

此外,该网站托管在 Microsoft 云服务上,从 URL 中可以明显看出,但页面上有 Google Drive 品牌。

但骗子很快恢复了原状,又发送了几封电子邮件,语气类似威胁,但链接更可信。

接下来的几条网络钓鱼邮件撕掉了 Adob​​e 的徽标,大概知道它与 PDF 文件扩展名在视觉上很匹配,并向我们提供了所谓的“投诉”副本:

如果你下载了这个文件,结果证明它不是 PDF,但它不是骗子经常使用的常见的知名可疑替代品,例如 VBS 文件(Visual Basic Sc​​ript)或 JS 文件( JavaScript) 文件。

这是一个Microsoft App Bundle。

.apk适用于 Android 的.pkg文件或适用于 macOS 的.appxbundle文件一样,文件是 Microsoft 为各种平台和设备提供单一下载的解决方案。

您需要记住,这些文件实际上只是伪装的旧 .EXE 文件,但许多 Windows 用户可能还不熟悉它们,特别是如果他们从未有理由从 Microsoft Store 下载工作应用程序。

所谓的通用 Windows 平台 (UWP) 应用程序使用了多种文件格式。UWP 包有点像 Apple 的“胖二进制文件”或 Android 的多平台 APK 文件,由供应商构建和提供,因此你无需留意你是 32 位还是 64 位,或者您是否拥有 Intel /AMD 或 ARM 处理器,每次将相同的程序安装到新设备时。文件扩展名留意包括:.msix.appx.msixbundle.appxbundle。如果您不熟悉这些,请将它们视为披着羊皮的狼文件并避免使用它们,除非它们来自已知且可信赖的来源。

Adobe品牌劫持

App Bundle 本身,如果你允许它下载和运行,就会继续劫持 Adob​​e 的品牌,声称自己是一个必需的组件:

如您所见,该文件被报告为Trusted App,供应商名称为Adobe Inc.,但这与原始电子邮件一样虚假。

如果您单击[Trusted App],您会看到声称是来自美国 Adob​​e 的捆绑软件的内容不太可能带有来自英格兰东南部一家会计师事务所的数字签名。

我们猜测骗子获得了这家公司的签名密钥的副本,或者是在暗网上购买的,这是该公司网络入侵的后遗症。如今,许多网络攻击都包括一个阶段,骗子在此过程中尽可能多地窃取看起来有用的文件。通常,这些被盗文件被勒索软件犯罪分子用作额外的手段来勒索您支付“封口费”。但是,来自此类盗窃的数据的用途远不止勒索,而且签名密钥或密码列表等文件在单独出售以用于进一步的网络犯罪时具有其自身的价值。

接下来发生什么?

恶意软件立即执行的操作包括:

通过咨询公共“查找我的 IP”服务器告诉骗子您的外部 IP 地址。具有讽刺意味的是,骗子无论如何都应该能够告诉您的外部 IP 号码,因为那是来自其恶意软件的回拨数据的来源。然而,他们通过找出您自己的计算机认为它如何连接到互联网来双重确定。

报告计算机的规格。骗子想知道你有多少可用的磁盘空间,你有多少内存,以及你使用的是什么主板。

与大多数此类后门程序(也称为机器人程序或僵尸程序)一样,该恶意软件还包含一个“功能”,可以下载和安装更多恶意软件。

换句话说,如果你的电脑不幸被感染,这看起来就像攻击链的末端,但事实上,这只是下一个被攻击的开始。就像这个僵尸恶意软件一开始窃取的一些数据一样行人,例如你有多少内存,它是一个极好的和简单的提示,提示犯罪分子你现在后门的计算机最适合执行的任务类型。

例如,一些加密货币挖掘过程(以及各种类型的密码破解操作)在有大量可用磁盘空间时效果最佳,但不需要大量 CPU 功率或 RAM;有些人想要尽可能多的处理能力;和其他人运行得越快,他们可以使用的内存越多。

通常,僵尸还会尝试估计您的网络速度,以便控制恶意软件的骗子知道其僵尸网络的哪些部分最适合租用我们的 DDoS(分布式拒绝服务)攻击,或发送包含下一波攻击的垃圾邮件恶意软件。

该怎么办?

停止。思考。连接。这是网络安全意识月的座右铭,它发生在 10 月,但它提醒您全年都可以采取网络安全预防措施。永远不要让自己受到压力或威胁而仓促行事,因为这正是骗子希望你做的。这个骗局充满了错误(拼写、语法、错误的 Web 链接、不太可能的文件下载、看起来不正确的数字签名),您希望在美好的一天注意到这些错误,但如果您匆忙行事,很容易错过.。但是所有迹象都在那里,即使您自己不是技术人员,这封电子邮件根本就没有加起来,而且是假的。

始终使用官方渠道与您的员工进行沟通。如果您是一名经理,并且您确实要处理客户投诉等紧急情况,请不要走 IT 捷径或试图哄骗您的员工违反公司关于官方通讯的规定。明确表示,如果有正式投诉,则将遵循正式的步骤顺序。这样,如果网络犯罪分子试图说服您的员工采取不寻常的步骤或下载意外的文件,即使是您的初级员工也会有知识和自信不这样做。

为安全报告设置一个简单易记的联系点。

cybersecurity@company.example

电子邮件地址这样简单的东西,任何工作人员都可以报告任何不合时宜的事情,从偷偷摸摸的电话到不太可能的电子邮件请求,非常适合于此。如果您的员工报告的消息被证明是误报,请确保您尊重他们。让您的安全团队遵循这样的原则,即没有愚蠢的问题,只有愚蠢的答案。

如果您不了解 App Bundle(应用束),请将它们添加到您的网络安全知识库中。例如,如果您经常

.EXE

在 Web 网关上阻止文件,也可以考虑阻止

.appxbundle

和朋友(见上文)。还要检查您的电子邮件附件过滤规则。就电子邮件而言,少即是多。

不要被屏幕上的安全承诺和视觉指示所诱惑。就像 HTTPS 和网站上的挂锁并不意味着该网站在说实话一样,因此关于下载是受信任的应用程序的评论对于应用程序的实际功能来说并不重要,鉴于所有数字签名真正告诉您的是该应用程序是由某人的加密密钥签名的。(在这种情况下,单击

[Trusted App]

以查看签名者确实可以帮助您发现骗局,因为签名者的姓名与应用程序声称来自 Adob​​e 之间明显不匹配。)

顺便说一下,您可以将上面的最后一条警告扩展到您数字生活中的所有交互。

本文作者:, 转载请注明来自FreeBuf.COM

# 数据泄露 # 系统安全 # 数据安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录