根据 Fortinet 的 CISO Carl Windsor 在一篇博客中的报告,最近出现了一个利用合法 PayPal 服务地址发送的邮件通知的钓鱼攻击方案,目的是欺骗用户放弃帐户控制权。 Windsor 透露,他上个月收到了来自合法 [email protected] 电邮地址的可疑邮件,但收件者栏中的地址却与他不同。这封邮件请求支付超过 2000 的款项,并附有一个链接指向合法的 PayPal 网站。 Windsor 指出,许多用户可能会点击该链接并登录 PayPal,以拒绝这个可疑的付款请求,但这样一来,攻击者就能获得受害者的 PayPal 帐户控制权。他解释了攻击者如何在不需要使用自己的邮件地址发送钓鱼邮件或链接回恶意网站的情况下达成这一目标。 邮件中收件者栏的奇怪电邮地址来自于 onmicrosoftcom 的子域名,这是一个攻击者控制的电子邮件地址,同时也是攻击者设置的电子邮件分发列表名称,其中包含了目标受害者的电子邮件地址。 攻击者设置一个 Microsoft 365 测试域,这可以借由三个月的免费试用来获得,有了这一点,他们就能创建电子邮件地址和巧妙命名的分发列表,然后使用 PayPal 对该电子邮件地址发送付款请求。 PayPal 系统会相信它仅仅是发送请求到提供的电子邮件地址,然而实际上,所有的邮件地址都会收到该请求。由于请求绑定于攻击者控制的电子邮件地址,如果受害者通过邮件中的链接登录,PayPal 将把他们的帐户连接到该电邮地址上。 然后,攻击者可以为受害者的帐户发送密码重置请求到他们自己的电子邮件地址,这样可能就能控制该帐户。此攻击需要攻击者已经知道受害者的电子邮件地址,若目标帐户启用了双重验证,可以有效阻止此攻击。 Windsor 写道:这一攻击的精妙之处在于它不使用传统的钓鱼方法。邮件、URL 和其他所有内容都是完全有效的。最佳解决方案是人类防火墙那些受过警觉和谨慎训练的人,无论邮件看起来多么真实,都能辨别任何未经请求的邮件。 一个有警觉性的用户可能会注意到,点击邮件中的链接后所访问的登录页面会说明一个新的电子邮件地址将会与他们的帐户绑定。虽然传统的电子邮件过滤器可能因使用受信的电子邮件地址和链接而忽略这一钓鱼攻击,但设置电子邮件安全软件的自定义规则,旗标元素的组合,例如 PayPal、onmicrosoftcom 和付款请求,可以帮助阻止此类已知的特定攻击。 值得注意的是,PayPal 并不是唯一一个被合法服务的邮件通知系统在钓鱼企图中利用的例子。 去年,威胁行为者曾经利用 GitHub 的邮件通知系统发送钓鱼邮件,通过在评论中PayPal 最新钓鱼攻击手法
关键要点
攻击者利用 PayPal 的合法电邮通知来进行钓鱼攻击,可能导致用户帐户被控制。钓鱼邮件使用了来自合法 PayPal 地址的电邮,但收件者的地址却是攻击者控制的电子邮件。透过 Microsoft 365 测试域,攻击者能够设置目标邮件列表,并提高攻击成功率。建议用户启用双重验证以保护帐户安全。
扫一扫微信交流