The hacker news發佈了一篇駭客如何透過網路釣魚獲取用戶的憑證並出售它們
釣魚是一種常見的網路攻擊手法,目的是騙取使用者的帳號密碼或其他敏感資訊。近年來,隨著企業採用多因素認證(MFA)來提高安全性,駭客也不斷改進他們的技巧,以繞過新的防護層。其中一種新興的釣魚手法是使用惡意代理伺服器(EvilProxy)釣魚工具,這是一種釣魚即服務(PhaaS)的平台,可以讓駭客輕鬆地製作和部署具有高度仿真性的釣魚網站,並且可以在中間截取使用者的密碼、驗證碼和瀏覽器Cookie。
根據Proofpoint的報告,自2022年9月以來,有一個持續的混合式攻擊活動,利用EvilProxy服務針對全球數百家組織的數萬個Microsoft 365使用者帳號進行釣魚攻擊,其中約39%的受害者是C級主管,包括CEO(9%)和CFO(17%)。這些攻擊也專門選擇了那些能夠存取財務資產或敏感資訊的人員。至少35%的所有受害者已經啟用了額外的帳號保護功能。
這些攻擊的開始是發送一些偽裝成可信服務(如Adobe或DocuSign)的釣魚郵件,要求收件人點擊附件中的惡意網址,這會觸發一個多階段的重定向鏈,將使用者帶到一個看起來像Microsoft 365登入頁面的網站,該網站其實是一個反向代理伺服器,可以偷偷地捕獲使用者在表單中輸入的資訊。但是有趣的是,這些攻擊故意跳過來自土耳其IP位址的使用者流量,將他們重定向到合法的網站,這表明攻擊者可能是來自土耳其的。
EvilProxy是一種收費的服務,每月訂閱費用為400美元,如果要釣魚Google帳號,則需要600美元。這種服務可以支援多種常見的網路服務,如Apple iCloud, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, NPM, PyPI, RubyGems, Twitter, Yahoo, Yandex等。駭客只需要使用一個具有可自訂選項的點擊式介面,就可以設定一個釣魚活動,例如機器人偵測、代理伺服器偵測和地理圍欄。這種相對簡單和低成本的介面,已經打開了大量成功的MFA釣魚活動的閘門。
釣魚即服務是網路犯罪經濟的一種演進,降低了技術能力較低的犯罪分子進行大規模和精密的釣魚攻擊的門檻。專家們建議,企業和個人應該提高對釣魚攻擊的警覺,並採取適當的預防措施,如檢查郵件的發件人、網址和附件,使用安全的瀏覽器和防火牆,並定期更新系統和應用程式。
詳情請看: