最近,一些专家发现了一家冒充安全公司的公司Proofpoint网络钓鱼活动。渔民冒充网络安全公司Proofpoint以潜在受害者的名义发送电子邮件。这些钓鱼邮件信息以抵押贷款为诱饵,诱使受害者提供微软Office 365和Gmail帐号密码。
Armorblox帖子写道:"电子邮件包含一个原因Proofpoint发送的安全文件链接。”当用户实际点击链接时,页面会自动跳转Proofpoint品牌启动页面还包括多个电子邮件提供商的登录链接。
钓鱼攻击还包括微软和谷歌的特殊登录页面。Google 和 Office 365 标识链接,潜在受害者将被带到精心设计的 Google 和 Microsoft 网络钓鱼页面要求用户提供登录账号和密码。
调查发现,网络钓鱼邮件是由一个被盗的私人账户发送的,发件人的域名(sdis34[.]fr)是法国南部的消防救援部门。这些钓鱼网页托管在 "greenleafproperties[.]co[.]uk "该域名于2021年4月更新。目前,该网站已重新定向 "cvgproperties[.]co[.]uk"。
以下是本次钓鱼活动的主要发现:
- 社会工程手段:电子邮件的标题和内容是为了给受害者一种信任感和紧迫感。信任是因为电子邮件包含了Proofpoint发送的文件;紧迫感来自于它包含抵押贷款和其他家庭动的信息。
- 冒充知名品牌:电子邮件和登录页都是假的Proofpoint。Google Workspace和Office 365的登录页面也充满了电子邮件提供商的品牌标识。
- 复制已有的工作流程:电子邮件的攻击步骤也在模拟日常生活中已经存在的工作流程,如在线共享文件时收到的电子邮件通知。当人们看到之前看过的电子邮件时,会习惯性快速点开查看。
- 使用被盗邮件地址:电子邮件发送地址来自法国消防救援部门的个人被盗账户。
参考来源:https://securityaffairs.co/wordpress/124298/cyber-crime/phishing-campaign-proofpoint.html