網絡釣魚工具冒充知名品牌以瞄準美國黑五消費節
自 9 月中旬以來,一個複雜的網絡釣魚工具包一直以北美為目标,使用針對勞動節和萬聖節等假期的誘餌。該工具包使用多種逃避檢測技術,并結合了多種機制,使非受害者遠離其網絡釣魚頁面。根據 Akamai 的說法,其安全研究人員發現了該活動,該工具包最有趣的功能之一是基于令牌的系統,可確定每個受害者都被重定向到一個唯一的網絡釣魚頁面 URL。
Akamai 發現的這場活動始于 2022 年 9 月,并持續到整個 10 月,目的是吸引尋找“節日特惠”的線上購物者。發送給潛在受害者的網絡釣魚電子郵件的中心主題是有機會赢得知名品牌的獎品。電子郵件中的連結不會引發任何警報,因為它們在經過一系列重定向後會指向釣魚網站,而 URL 縮短器會隐藏大多數 URL。
此外,攻擊者濫用 Google、AWS 和 Azure 等合法雲服務,濫用其良好聲譽來繞過保護機制。每個通路釣魚網站的人都會在完成簡短調查後赢得承諾的獎品。此外,五分鐘的計時器確定參與調查的人充滿緊迫感。
一些假冒品牌包括體育用品公司 Dick's、高端行李箱制造商 Tumi、達美航空以及批發俱樂部、山姆會員店和好市多。為了提高活動的有效性,網絡釣魚行為者包括虛假的使用者推薦來展示所收到的獎品。
“赢得”獎品後,受害者需要支付收到獎品的運費,為此他們需要輸入他們的支付卡詳細資訊。當然,沒有獎品可以運送,信用卡詳細資訊被攻擊者竊取用于線上購買。Akamai 表示,大約 89% 登陸網絡釣魚域的使用者來自美國和加拿大。
根據他們的确切位置,重定向将他們帶到不同的網絡釣魚站點,冒充當地可用的品牌。每封網絡釣魚電子郵件都包含一個指向登入頁面的連結,該連結帶有一個錨點 (#),通常用于将通路者引導至連結頁面的特定部分。
在此網絡釣魚活動中,錨标記代表 JavaScript 在網絡釣魚登陸時使用的令牌,用于重建目标将被重定向到的 URL。安全産品和網絡流量檢測工具會忽略此标記,是以不會給網絡釣魚行為者帶來風險。相反,它有助于使不需要的流量、研究人員、分析師和随機通路者遠離網絡釣魚登入頁面。那些沒有有效令牌以及不使用 JavaScript 進行呈現的浏覽器重定向将無法通路釣魚網站。除了過濾非受害者之外,令牌還可以用于特定于受害者的跟蹤、活動績效衡量等。
總之,該工具包結合了幾乎所有已知的有效性和檢測規避技術,使其成為對北美的潛在威脅。随着黑色星期五和聖誕節購物季的臨近,消費者在收到有關促銷和特别優惠的資訊時應格外警惕。
