靠谱平台全方位电子邮件服务商

分享:了解GoDaddy凭据网络钓鱼攻击

发布时间:2022-09-22 阅读次数:329 次

今天我们将研究利用合法公司的品牌声誉攻击毫无戒心的金融机构(受害者)的“凭据网络钓鱼攻击”。攻击者利用受害者对GoDaddy品牌的信任来窃取机密信息。这种有针对性的电子邮件攻击绕过了本机Microsoft电子邮件安全控制。


GoDaddy是全球最大且受信任的域名注册商和托管平台。电子邮件攻击看起来像是来自GoDaddy的合法通知电子邮件,通知收件人帐户被暂停并要求验证以继续接收电子邮件通信。单击电子邮件正文中的按钮后,受害者会被导航到伪造的GoDaddy品牌登录页面,提示受害者登录。



概括


邮箱:~1,500个邮箱

目标:此电子邮件攻击针对一家美国跨国金融机构

绕过电子邮件安全:Microsoft Office 365

使用的技术:社会工程、品牌模仿、欺骗性登录页面



电子邮件


这封社会工程电子邮件的主题是“立即采取行动:电子邮件#300098744332118654333”,在收件人甚至打开电子邮件攻击之前就唤起了受害者的紧迫感。打开后,该电子邮件看起来像是来自GoDaddy的合法通知电子邮件。攻击者进一步冒充品牌GoDaddy,并在电子邮件正文中包含客户编号和客户报价。

图 1:冒充GoDaddy品牌的凭据电子邮件攻击


一眼看去,这封电子邮件似乎是从GoDaddy发送的,电子邮件发件人名称为Godaddy。没有密切注意发件人地址的收件人可能很容易上当,成为此电子邮件攻击的受害者——参与电子邮件中的号召性用语并单击“在此处启用”按钮。



网络钓鱼页面


单击此处启用后恶意电子邮件正文中的按钮,受害者被导航到一个欺骗性的登录页面,该页面模仿了一个合法的GoDaddy登录界面。欺骗页面包括以下元素,以使受害者相信他们已经登陆了一个值得信赖的合法登陆页面:左上角的GoDaddy的Logo,以及底部的版权水印以及指向GoDaddy隐私的超链接政策。攻击者注意添加其他元素,以确保受害者遵守登录请求,包括提及24*7小时联系热线、代表公司品牌的图形、访问者请求新密码的方式,甚至自动填充发送电子邮件攻击的受害者的电子邮件地址(出于隐私考虑,该地址已从下图中删除)。

图 2:旨在窃取受害者登录凭据的虚假登录页面


在这个虚假登陆页面上找到的表格建议受害者输入电子邮件登录凭据:电子邮件地址和密码。攻击者的目标是在此凭据网络钓鱼电子邮件攻击的收件人中泄露敏感的PII用户凭据。在攻击流程中完成此步骤的受害者会自愿向攻击者提供敏感的PII信息,这会使他们自己和公司面临其他信息泄露的风险。




分析攻击者使用的技术,让我们更好的防范


这种电子邮件攻击采用了一系列技术来绕过邮件安全网关并让毫无戒心的受害者上钩。

社会工程:电子邮件标题、设计和内容旨在引起受害者的信任感和紧迫感。信任是通过冒充知名品牌 (GoDaddy) 和通过电子邮件和虚假登录页面中使用的语言产生的紧迫感引起的。这种攻击的背景还利用了好奇心效应,是我们与生俱来的渴望解决不确定性并了解更多有关事务的愿望。

品牌模仿:电子邮件具有类似于 GoDaddy 品牌的 HTML 样式和免责声明。电子邮件攻击正文中包含的信息类似于合法的通知电子邮件通信,而且电子邮件和登录页面中使用的Logo相同,以试图欺骗受害者并灌输信任。



指导和建议


加强邮件安全网关的过滤性能

为了更好地防范电子邮件攻击(无论是鱼叉式网络钓鱼、商业电子邮件泄露(BEC)还是像这样的凭据网络钓鱼攻击),企业应该通过采用多重威胁检测方法来增强电子邮件安全性。许多企业有内部反垃圾硬件网关,也可以考虑再部署云端网关(靠谱邮件)。


二. 注意社会工程线索

由于我们从服务提供商那里收到了如此多的电子邮件,我们已经默认来快速执行他们邮件里请求的操作。我们以后要改变充分信任的习惯,尽可能以理性和有条理的方式处理这些电子邮件。比如认真检查发件人姓名、发件人邮件地址、邮件中的语言以及邮件中的任何逻辑不一致等细节。


三. 遵循多因素身份验证和密码管理最佳实践

如果您还没有,请实施这些卫生最佳实践,以尽量减少凭据被泄露的影响:

1. 在所有可能的企业和个人帐户上部署多因素身份验证(MFA)。

2. 不要在多个站点/帐户上使用相同的密码。

3. 使用LastPass或1password等密码管理软件来存储您的帐户密码。


四.企业内部可以加强钓鱼邮件演练及安全意识培训等工作


返回列表