黑客千方百计试图绕过企业的安全系统侦测,来发动钓鱼邮件攻击,手法多半是从电子邮件本身着手,以避免钓鱼邮件遭到拦截,但如今,他们将脑筋动到了企业网站提供客户反映意见的表单上。最近微软针对一波散播窃密木马程序IcedID的攻击行动提出警告,原因是攻击者借由企业网站的联系表单下手,恫吓企业疑似盗用图片,诱使受害者连接到合法的Google协作平台(sites. google.com)下载恶意软件。
一旦受害者依照钓鱼邮件的指示,点击查看黑客宣称遭到盗用的图片网址,计算机就会被植入名为IcedID的木马程序。微软指出,这个木马程序不只会侦察计算机环境,像是取得IP地址,系统、杀毒软件、域名的信息,还会访问浏览器存储帐密的SQLite数据库。
在这起事件的攻击过程中,黑客会先侦察企业的网站表单,然后在表单填写网络钓鱼的内容,一旦网站管理者受骗上当,点击表单产生的电子邮件中的URL网址,计算机就有可能通过右半部的其中一种途径下载窃密程序IcedID。
对于此波攻击,微软认为要特别小心的是滥用企业网站表单的手法,因为这种类型的手法,也同样能用来诱骗用户下载其他恶意软件。该公司也将上述协作平台网站遭到滥用的情况,向Google通报。
一般而言,企业在网站上提供联系表单,让浏览网站的用户能反映意见,是相当常见的做法,因为这么做能够减少客服电子邮件信箱被发送垃圾信的情况。然而,在这起攻击中,微软发现这种表单遭到滥用。他们看到企业网站表单制作的电子邮件大量涌入,换言之,攻击者很可能通过自动化工具来填写表单,同时还能通过辨别是人类还是机器人的CAPTCHA验证机制。
由于通过这种表单产生的电子邮件,发送的来源是受到信任电子邮件营销系统,往往会被安全防护系统视为合法,而这种电子邮件内容是客户联系表单,网站管理者收到信很可能也会降低警觉。
但究竟黑客填写了什么内容让网站管理者上当呢?微软指出,攻击者佯称自己是授权的图片供应者,宣称看到受害企业在未取得许可的情况下使用图片,并强调他们已经收集相关证据,扬言要是没有尽快移除遭到侵权的图片,将会向主机供应商抗议,甚至不排除采取法律行动。
因为信件内容以法律诉讼要胁,微软表示,这种恐吓的效果非常显著,而且,利用企业网站表单的合法渠道,钓鱼邮件也会如攻击者预期发送到受害者手上,而不致被归类为垃圾邮件。该公司也看到越来越多攻击者自称是摄影师、设计师、插画家,进行相关攻击,其公用点是要收件人尽快点击Google协作平台的网址,来了解企业图片侵权的情形。不过,究竟有多少企业因此受害?微软并没有进一步说明。