針對Office 365的新型網路釣魚詐騙之音訊郵件
在過去的幾週中,出現了一個新的網路釣魚活動,黑客使用偽造的語音郵件來誘使受害者輸入Office 365電子郵件的登入憑據。
音訊郵件詐騙
儘管釣魚郵件在網路詐騙中已經不是什麼新鮮事,但這次的釣魚郵件是一種新型的語音郵件,同時包含三種不同的惡意工具包。
這次的攻擊物件包括一些知名公司。同時,針對Microsoft Office 365的登入憑據的攻擊頻率在近期有所上升。
攻擊者假裝來自Office 365官方,指出使用者有未接來電,並且呼叫者留下了語音郵件,以下是其中一種網路釣魚電子郵件的示例。
圖片來源:McAfee
上述電子郵件包含一個HTML附件,當開啟該附件時,會自動播放音訊記錄,並假裝是部分語音郵件打招呼。
HTML附件
攻擊者通過在HTML電子郵件中嵌入.wav檔案,開啟後偽造的語音就會自動播放。
音訊檔案播放完畢後,HTML附件會將使用者重定向到通用的Microsoft登入頁面,然後提示您登入以收聽完整的錄音。
可以想到,輸入登入憑據並不能獲得真實的語音郵件。相反,使用者將被重定向到office.com,而攻擊者則已經竊取了使用者的登入資訊。
釣魚事件分析
此外,研究人員在調查中發現了三種不同的網路釣魚工具包。看上去幾乎相同,但依然可以通過HTML程式碼和PHP指令碼來區分它們。
目前這三個工具包在暗網上售賣火爆。
另外,研究人員在分析此次事件的受害者時發現攻擊者選擇的詐騙物件最多的是廣告從業者,同時還包括中高層管理人員。
攻擊物件行業分佈
通過音訊檔案進行詐騙這一手段給郵件增加了真實感,是誘使收件人輸入其登入憑據的推動力。
因此使用者要驗證網站的URL和證照避免掉入詐騙者的陷阱。
* 本文由看雪編輯 LYA 編譯自Bleeping Computer,轉載請註明來源及作者。
* 原文連結:
https://www.bleepingcomputer.com/news/security/new-office-365-phishing-scams-using-audio-voicemail-recordings/
相關文章
- 最新釣魚郵件曝光:偽裝成Office 365未送達郵件
- 釣魚篇-郵件釣魚
- 釣魚郵件的心理學
- 釣魚郵件盯上iPhone,釣魚垃圾郵件又一個傳送高潮薦iPhone
- 多部門下發補貼?假的!Coremail郵件安全提醒:詐騙型釣魚郵件正在活躍!REMAI
- FBI針對HTTPS網路釣魚釋出警告HTTP
- 釣魚篇-網路釣魚
- 如何防範釣魚網站詐騙?網站
- 郵件釣魚攻擊與溯源
- 關於釣魚郵件,你知道多少?
- 這樣的釣魚郵件,你會中招嗎?
- 抖音國際版成為網路釣魚詐騙新目標
- 美團被爆用釣魚郵件獲拼多多薪資資訊,電商企業如何防範釣魚郵件?
- 2022Q1Coremail企業郵箱安全報告:平均每天67萬封釣魚郵件被收發!釣魚詐騙涉案千萬REMAI
- 如何有效辨別網路釣魚電子郵件?這六點要牢記
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 為什麼說針對反網路釣魚的培訓還遠遠不夠?
- 網路釣魚攻擊
- 針對多國政府網路的釣魚活動,中國交通運輸部和順豐在列
- 情人節網購引熱潮網路釣魚詐騙不可掉以輕信
- 為什麼釣魚郵件備受駭客青睞
- X站釣魚郵件應急響應案例分析
- 基於釣魚郵件測試的安全意識教育方法
- 這幾種釣魚郵件,你一定不陌生~
- 釣魚郵件真假難辨?幾招教你如何辨別
- 卡巴斯基:2021年Q2垃圾郵件和網路釣魚報告
- 降低網路釣魚攻擊的風險
- 掌握這些方法,輕鬆識破釣魚郵件的偽裝
- 360CERT網路安全十月月報 | 釣魚郵件仍以投遞銀行木馬的垃圾郵件方式活躍
- 10家能夠幫助您應對網路釣魚的公司
- 關注重要的Azure網路釣魚攻擊及對策
- 2021年Q2郵件安全報告:釣魚郵件季環比增長21.27%
- 透過.PAC進行網路釣魚
- 針對高密級單位的安全保密郵件
- Darktrace:報告稱ChatGPT等生成式AI導致網路釣魚郵件攻擊增長135%ChatGPTAI
- 微軟Office 365報告:2018年已累計阻止50億次釣魚攻擊微軟
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 釣魚篇-其他釣魚