在趨勢科技最近所發表的報告:「Operation Pawn Storm行動」裡,我們提到這個攻擊行動用了三種攻擊手法。在本文中,我們會探討第三種:網路釣魚(Phishing)郵件將受害者導到假的Outlook Web Access登入網頁。
很顯而易見的是,這種做法簡單而有效,並且重複使用。透過一行簡單的 Javascript 程式碼,數百萬的Outlook Web Access(OWA)使用者就可能會成為狡詐但簡單的網路釣魚(Phishing)攻擊受害者。這裡並沒有用到漏洞來進行攻擊。只有使用JavaScript的功能、微軟 OWA 的預覽窗格和兩個錯誤的近似網域。我們已經看到這網路釣魚攻擊被用來針對美國國防產業像 Academi(過去稱為 Blackwater)、SAIC 和 OSCE 等公司。
它如何運作
為了要針對國防產業公司 Academi,攻擊者註冊了兩個近似正常網域的網域名稱:
- tolonevvs[點]com(真正的新聞網域是:tolonews.com(關於阿富汗的新聞網站)
- academl[點]com(真正的公司網域是:academi.com)
連到近似網域的連結透過魚叉式網路釣魚郵件寄到Academi – 只寄送給可能會想收到來自tolonews.com電子郵件通知的少數員工。
當目標透過 Microsoft Outlook Web Access 的預覽窗格打開電子郵件並點入這些錯誤的近似網域,就會打開新頁籤來載入正常的新聞網站。從攻擊目標的角度來看,他們的瀏覽器會如下所示:
