雖然,絕大多數的網路釣魚(Phishing)行攻擊動本質上都相當單純,也容易辨識,因為它們通常都假冒某個合法機構發信,然後隨附惡意檔案或者在內文當中包含惡意連結。不過,我們在今年 9 月發現了一波垃圾郵件採用了一種更精密的網路釣魚手法。這波垃圾郵件使用了預先駭入的電子郵件帳號,以回覆現有電子郵件對話串的方式來散布惡意程式。由於該郵件是發到既存的對話串當中,因此很容易讓收件人不知不覺上當。等到受害者發現自己遭到網路攻擊時,通常為時已晚。
此波攻擊非常類似 Talos 在今年稍早所發現的 URSNIF/GOZI 垃圾郵件攻擊行動,後者使用的是預先駭入並收編至 Dark Cloud 殭屍網路(botnet)的電腦來發送電子郵件至已經存在的對話串當中。因此,這波行動很可能是上一波攻擊的延續或衍生攻擊。
趨勢科技從目前蒐集到的所有資料當中發現,這波行動主要攻擊北美和歐洲地區,但我們也在亞洲和拉丁美洲地區發現一些零星的類似攻擊。而攻擊的目標以教育、金融及能源產業為主,不過也出現在房地產、運輸、製造和政府機關等其他產業。
留意警訊
為了說明這波網路釣魚攻擊的可信度有多高,我們在下面附了一個電子郵件樣本 (如圖):
圖 1:回覆某電子郵件對話串的惡意電子郵件樣本。
由於信件是來自熟人,而且是回覆現有的對話串,因此很容易讓收件人不疑有詐。除此之外,信件的主旨和文法也似乎沒什麼錯誤,甚至信件結尾還附上個人簽名。 繼續閱讀