以色列安全企业Check Point近日披露了一起盗用英国牛津大学、Adobe及三星电子旗下资源所展开的网络钓鱼攻击行动,黑客企图通过这些合法的品牌来掩护攻击行动,使得不管是企业的安全机制或是用户皆难以发现。
这波网络钓鱼攻击经过了精心的策划,企图同时欺骗用户及企业的安全机制。为了取信于用户,邮件主题写上了受害者企业名称,邮件内容则有受害者名字,并说用户有一通未接的语音频息,于邮件中嵌入一个“聆听/下载”按钮,以将用户跳转至Office 365的凭证输入画面来听取留言。
而为了逃避安全机制的侦测,黑客挟持了英国牛津大学的SMTP服务器,其原始信件是来自NordVPN,但绕道牛津的SMTP与中继服务器,让寄件人的域名显示为牛津大学,躲过安全机制的第一道检查。
而藏匿在按钮中的连接,则是盗用了三星所使用的Adobe Campaign服务器。Adobe Campaign是Adobe所推出的营销服务,而三星在加拿大的分公司,因使用了该服务而设立了一个专用服务器,该营销专用的服务器是开放的,而Adobe Campaign则有一个重定向功能,能够将用户跳转至特定的网址,以计算营销效益。
于是,黑客潜入了三星的Adobe Campaign服务器,篡改了三星旧有营销活动的导向路径,且并非直接跳转至网络钓鱼页面,而是先导到已经被黑客危害的WordPress网站,以WordPress网站作为掩护及跳板,再将用户送到网络钓鱼页面。
由于不管是寄件人的邮件地址,或是邮件中所包含的连接,都是来自于看起来合法及可靠的来源,因而可躲过寻常的安全机制。
Check Point指出,除了牛津大学以外,黑客并非借由安全漏洞入侵三星或Adobe,只是滥用了它们的资源,同时这也突显了本地端的安全解决方案很容易就被绕过,建议企业最好采用云计算及电子邮件安全解决方案,此外,Adobe也已采取了必要行动,以预防黑客再借由其服务发动类似的攻击。