黑客使用Google表单进行LinkedIn网络钓鱼

黑客使用Google表单进行LinkedIn网络钓鱼

LinkedIn 凭据网络钓鱼攻击,该攻击从受感染的大学电子邮件帐户发送,并将其网络钓鱼页面托管在 Google 表单上。该电子邮件声称受害者的 LinkedIn 帐户因异常活动而被锁定,并邀请他们验证其帐户是否要恢复访问权限。

概括

组织邮箱: ~700

电子邮件提供商: Google Workspace

使用的技术:社会工程、品牌模仿、复制现有工作流程、电子邮件帐户接管、使用免费在线服务、使用安全主题

黑客使用Google表单进行LinkedIn网络钓鱼
凭据网络钓鱼攻击欺骗 LinkedIn 消息并使用 Google Forms 托管网络钓鱼页面

电子邮件

这封电子邮件声称来自 LinkedIn,发件人姓名为“LinkedIn”,标题为“验证您的 LinkedIn 帐户”,后跟受害者姓名。添加受害者的姓名会增加他们打开邮件的可能性。

该电子邮件声称受害者的 LinkedIn 帐户因异常活动而被锁定,并邀请受害者验证其帐户。该电子邮件还包含查看 LinkedIn 服务条款和客户支持联系方式的链接,但所有电子邮件链接都路由到同一网络钓鱼页面,我们将在下一节中查看。

下面给出了电子邮件的截图:

黑客使用Google表单进行LinkedIn网络钓鱼
从受感染的大学电子邮件帐户发送的电子邮件欺骗了 LinkedIn 锁定帐户的工作流程

请务必注意电子邮件发件人 ID – ‘[email protected][.]edu[.]ng’。这是位于尼日利亚奥卡的保罗大学的合法域名,这意味着攻击者可能会破坏该大学的电子邮件帐户并利用其基础设施发送此电子邮件。

由于域是合法的,这封电子邮件绕过了 SPF、DKIM 和 DMARC 等身份验证检查。但是,虽然汽车是安全的并且有正确的车牌,但这里的方向盘上有一个恶意的司机。

网络钓鱼页面

单击电子邮件中的任何链接都会将受害者引导至一个网络钓鱼页面,该页面要求他们提供 LinkedIn 用户名和密码。该页面托管在 Google Forms 上,并使用 LinkedIn 品牌来通过受害者敷衍的眼睛测试。由于 Google 表单“默认受信任”,因此该页面绕过了任何用于过滤已知不良或可疑链接的二进制电子邮件安全技术。

我们观察到网络犯罪分子在网络钓鱼攻击中利用了各种 Google 服务,例如文档、表单、站点和 Firebase。我们去年在这里报道了一系列此类攻击。

黑客使用Google表单进行LinkedIn网络钓鱼
托管在 Google Forms 上的钓鱼页面要求提供 LinkedIn 帐户凭据

所用技术回顾

这种电子邮件攻击采用了一系列技术来绕过传统的电子邮件安全过滤器,并通过毫无戒心的受害者的眼睛测试。

  • 社会工程学:电子邮件标题、发件人姓名和内容旨在引起受害者的信任感和紧迫感——信任感是因为电子邮件声称来自合法公司 (LinkedIn),而紧迫感是因为它声称受害者的帐户已被锁定。该电子邮件的标题中还包含受害者的姓名,进一步增加了攻击的针对性。
  • 品牌冒充:电子邮件内容反复引用 LinkedIn,网络钓鱼页面包含 LinkedIn 品牌,使其表面上熟悉真实品牌。如果停下来想一想,网络钓鱼页面就有可疑之处。但骗子们寄希望于受害者不会停下来思考这个事实。
  • 第三方电子邮件帐户被盗:电子邮件是从属于尼日利亚大学的被盗帐户发送的。域的合法性使电子邮件能够绕过身份验证检查。我们多次观察到帐户接管被用作发起后续网络钓鱼攻击的起点。
  • 使用安全主题:电子邮件使用锁定帐户和安全问题的幌子来提取帐户凭据。由于员工希望成为优秀的企业公民,他们倾向于对声称与安全相关的沟通采取更快的行动。讽刺在这里就像雷神的锤子一样来袭。
  • 复制现有工作流:电子邮件攻击的上下文复制了我们日常生活中已经存在的工作流(由于异常活动而锁定的在线帐户)。当我们看到以前看过的电子邮件时,我们的大脑倾向于采用系统 1 思维并迅速采取行动。
  • 使用 Google 表单托管网络钓鱼页面:网络钓鱼页面托管在 Google 表单上。Google Forms 等免费在线服务让我们的生活更轻松,但不幸的是,它也降低了网络犯罪分子成功发起网络钓鱼攻击的门槛。我们还观察到以类似方式利用Google FirebaseBoxGoogle SitesTypeform 的攻击。

指导和建议

1. 通过额外的控制增强本地电子邮件的安全性

本博客中突出显示的电子邮件已通过 Google Workspace 电子邮件安全保护。为了更好地防范电子邮件攻击(无论是鱼叉式网络钓鱼商业电子邮件入侵还是像这样的凭据网络钓鱼攻击),组织应该通过采用完全不同的威胁检测方法的层来增强内置电子邮件安全性。

2. 留意社会工程学线索

由于我们从服务提供商那里收到了如此多的电子邮件,我们的大脑已经接受过训练,可以快速执行他们要求的操作。说起来容易做起来难,但尽可能以理性和有条不紊的方式处理这些电子邮件。对电子邮件进行视力测试,包括检查发件人姓名、发件人电子邮件地址、电子邮件中的语言以及电子邮件中的任何逻辑不一致(例如,为什么 LinkedIn 将此电子邮件发送到我的工作帐户,为什么所有链接都指向同一页)。

3. 遵循 MFA 和密码管理最佳实践

尽管我们没有观察到这些攻击的整个 vishing 流程,但 vishing 调用脚本通常包括尝试提取受害者的帐户凭据以及他们的信用卡详细信息。

如果您还没有,请实施这些安全最佳实践,以尽量减少您的凭据泄露的影响:

  • 在所有可能的企业和个人帐户上部署多重身份验证 (MFA)。
  • 不要在多个站点/帐户上使用相同的密码。
  • 使用LastPass1password等密码管理软件来存储您的帐户密码。
  • 避免使用与您的公开信息(出生日期、周年纪念日等)相关联的密码。
  • 不要使用通用密码,例如“password123”、“YourName123”等。

from

Leave a Reply

您的电子邮箱地址不会被公开。