网络攻击者向一些组织发送了数千封电子邮件,研究人员警告说,这是犯罪分子的信息侦察活动,其目的是攻击未来的商业电子邮件(BEC)确定目标。
研究人员观察到,从2020年12月到现在,攻击者已经向零售、电信、医疗、能源和制造部门发送了数千封电子邮件。值得注意的是,谷歌使用了这次攻击Forms调查工具。为了绕过电子邮件内容过滤系统,网络犯罪分子使用谷歌表格收集信息并不新鲜,这在凭证钓鱼攻击中经常被观察到。然而,研究人员表示,它被用于这种攻击Google Forms邮件收件人和攻击者也可以保持联系,以便对他们进行联系BEC攻击。
据Proofpoint研究人员在周三的分析中表示,"该活动结合谷歌服务和社会工程攻击,使攻击更加大规模和合法BEC经常在攻击中看到。"。
这些信息包含在目标组织中C高级管理人员的名字表明,网络犯罪分子在攻击时做好了充分的准备。研究人员说,这些电子邮件本身 "形式很简单,但内容给人一种紧迫感",他们问受害者是否能立即做某事。发件人声称他要开会或太忙,无法亲自处理任务,并在电子邮件中添加了一个链接。
这个链接将把受害者引向托管Google Forms基础设施上的无标题表。Google Forms是调查管理软件Google的Doc Editors套件的一部分。奇怪的是,这次攻击中使用的表格是空白的,只写着 " 无标题表"。
研究人员认为,这样做的目的是让受害者回复电子邮件,回复问卷被破坏或表格有问题。这可以为受害者和攻击者之间的进一步沟通奠定基础,并为后续工作奠定基础BEC准备攻击。
研究人员说:"这个表很可能只是一个检测工具,看看是否有人填写了他们的信息。作为一种新的检测技术,习惯点击电子邮件链接的用户很容易成为受害者"。
虽然使用了这种攻击技巧,但邮件本身有几个明显的错误,很可能会让收件人看到缺陷。包括错误的拼写和一些不规则的语法。其中一封电子邮件说:"你现在有时间吗?现在帮我做点什么。=m标题进入会议,我现在不能接电话或短信 e=ail。"
另一个非常明显的地方是发件人在攻击活动中使用的电子邮件地址。在某些情况下,这些地址一眼就可以看到非法的电子邮件地址(例如fgtytgyg[@]gmail.com)。
Proofpoint高级总监威胁研究和测试Sherrod DeGrippo告诉Threatpost:"我们没有研究这些邮件地址的组合规则。同时,有些地址看起来像是随机拼凑的,而其他地址则使用常见的名称或短语"
研究人员认为,这只是攻击活动的初始阶段。他们说,攻击者可能正在收集信息并确定随后的攻击目标。
研究人员说:"在邮件中使用紧急语气和以前的语气BEC攻击者的行为是一致的,所以我们希望这些信息能提醒客户和社区"。
攻击者之前使用过其他谷歌服务,包括谷歌表格,然后发动了各种恶意攻击。在11月的一次在线钓鱼攻击中,犯罪分子利用谷歌表格收集受害者的凭证,伪装成25家不同公司、品牌和政府机构的登录页面。谷歌表格和美国运输的标志被用于11月的另一次攻击,并试图获取受害者的敏感信息。同样在11月,骗子也使用它Google Drive点击恶意链接攻击协作功能。
Proofpoint研究人员说:"虽然社会工程攻击在电子邮件传播攻击中很常见,但它在恶意软件攻击和凭证钓鱼攻击中的应用BEC在恶意软件攻击活动中,社会工程学是在攻击初期使用的。相反,在BEC在整个攻击过程中都使用社会工程学。虽然这种攻击很少见,但我们发现的攻击方法通常是恶意攻击者在获得受害者信任后向受害者提供恶意软件。"
本文翻译自:https://threatpost.com/google-forms-set-baseline-for-widespread-bec-attacks/163223/