在为期两天的网络钓鱼攻击中,威胁者冒充美国交通部(USDOT),他们还创建了虚假的联邦网站域名,以避免安全检测,以使攻击看起来更合法。
8月16日至18日,研究人员发现了41封钓鱼邮件,以国会最近通过的1万亿美元基础设施项目投标为诱饵。
攻击活动主要针对工程、能源和建筑行业的公司。这些公司可能会与美国交通部合作,并向潜在受害者发送欺诈电子邮件。他们被告知,美国交通部正在邀请他们点击 "点击此处投标 "巨大的蓝色按钮提交部门项目投标。
这些电子邮件是从亚马逊8月16日注册的域名transportationgov[.net]发送。根据其创建日期,似乎表明该网站是专门为网络钓鱼活动设立的。
对于熟悉政府网站的人来说,政府网站通常有一个.gov从这个角度来看,域名将是可疑的。然而,对于习惯于快速浏览的人来说,域名可能看起来像一个正式的网站。
欺骗受害者
如果人们点击链接,他们将被引导transportation.gov.bidprocure.secure.akjackpot[.com]网站,有'transportation'、'gov'和'secure子域名看起来很正式。然而,该网站的基本域名akjackpot[.]com事实上,它是在2019年注册的,一个马来西亚人的在线赌场网站可能会在基本域名上运行。要么该网站被劫持,要么该网站的所有者本身就是冒充美国联邦贸易委员会的渔民。
一旦进入假投标网站,用户将被指示点击 "投标 "按钮,用他们的电子邮件提供商登录。它还表明,如果他们有任何问题,他们可以使用另一个假域名mike.reynolds@transportationgov[.]us联系业主。
一旦受害者关闭指示,他们将被引导到一个与美国交通部真实网站非常相似的网站。这个网站实际上是攻击者的政府网站HTML和CSS复制到他们的主机上。
欺诈完成后,威胁者还复制并粘贴了关于如何验证美国政府网站真实性的警告,提醒受害者他们被欺骗,因为他们意识到钓鱼网站的域名是基于.com结束,而不是.gov或.mil。
一旦进入美国交通部假网站,受害者将被邀请点击 "点击此处投标 "还有一个带有微软标志和 的按钮"用您的电子邮件提供商登录 "指示的凭证收集表。第一次尝试输入凭证时,会遇到ReCAPTCHA验证,合法的网站通常将其作为网站的安全组成部分。然而,攻击者已经获得了证书。
如果受害者第二次尝试输入证书,就会有错误的信息,然后他们会被引导到美国交通部的真实网站。渔民经常把这一步作为最后一步。
避免检测设备
虽然攻击者在攻击活动中没有使用任何新的网络钓鱼技能,但正是这种新模式的战术组合使他们能够绕过安全的电子邮件网关进行攻击。
创建一个新域名,巧妙地利用当前事件,假装是一个著名的组织,你可以发起凭证盗窃攻击,这些钓鱼攻击者想出了一种不同于所有已知攻击的攻击方法,很好地避免了标准的检测方法。使用新的域名可以使非法的钓鱼邮件通过SPF、DKIM和DMARC电子邮件认证等标准。
因为它们的攻击域名是全新的,它们以前从未出现过,也没有出现在传统反钓鱼工具的威胁信息中。这些网站看起来不恶意,很容易被愚弄。
本文翻译自:https://threatpost.com/attackers-impersonate-dot-phishing-scam/169484/如果转载,请注明原始地址。