网上诱骗骗局无处不在,只有一个

2021-01-22 05:05:11

最近发生的网络钓鱼诈骗案的犯罪分子已将所有重要内容汇总在一起。绕过防病毒的恶意软件-检查。绕过Microsoft Office 365高级威胁防护的电子邮件模板-检查。具有良好信誉的电子邮件帐户,可从中发送骗局邮件(检查)。

这是使诈骗者窃取1000多个公司员工凭证的方法。仅有一个问题:骗子将他们来之不易的密码保存在公用服务器上,任何人(包括搜索引擎)都可以(并且确实)为它们建立索引。

“有趣的是,由于攻击链中的一个简单错误,网络钓鱼活动背后的攻击者在攻击者使用的数十个防区服务器中公开了他们窃取的凭证到公共互联网,”安全公司Check Point的研究人员说,在周四发表的一篇文章中写道。 “通过简单的Google搜索,任何人都可以找到一个被盗的被盗电子邮件地址的密码:这是给每一个机会主义攻击者的礼物。”

Check Point研究人员在调查始于8月的网络钓鱼活动时发现了这种情况。该诈骗邮件来自Xerox或Xeros。电子邮件是通过被劫持之前具有较高声誉的地址发送的,这些信誉绕过许多反垃圾邮件和反网络钓鱼的防御措施。邮件中附有一个恶意HTML文件,该文件没有触发60个最常用的反恶意软件引擎中的任何一个。

当收件人被骗并登录到伪造帐户时,诈骗者将凭据存储在数十个遭到破坏并变成所谓的“拖放区”的WordPress网站上。这种安排是有道理的,因为受感染的站点的信誉得分可能比攻击者拥有的站点更高。

但是,攻击者未能将这些站点指定为Google和其他搜索引擎的禁区。结果,Web搜索能够找到数据,并将安全研究人员引导到已泄露凭据的缓存中。

“我们发现,一旦将用户的信息发送到放置区服务器,数据就会被保存在一个公开可见的文件中,Google可以将其编入索引,” Check Point在星期四的帖子中写道。 “这使任何人都可以通过简单的Google搜索访问被盗的电子邮件地址凭据。”

根据对大约500个受损凭证的分析,Check Point能够对目标行业进行以下细分。 简单的Web搜索显示,在发布该帖子时,隐藏在拖放区服务器上的某些数据仍可搜索。 这些密码大多数采用相同的格式,因此凭据可能不属于真实帐户。 但是,Check Point的发现仍然提醒我们,就像互联网上的许多其他事物一样,被盗的密码已经可以被窃取。