小心! 注意識別郵件裡的惡意連結!

小心! 注意識別郵件裡的惡意連結!

 

當我們談到憑據盜竊時,第一時間總會想到包含釣魚鏈接的電子郵件。 然而,在詐騙犯企圖獲取各類在線服務的使用者名和密碼時,釣魚郵件只能算是海量騙術中的一種。 他們還會時不時發送一些可以連結到間諜軟體的電子郵件。 為了掩飾這些連結,有一種套路就是附上一個形似附件的圖像。

帶有惡意連結的電子郵件

當下,我們正在關注有針對性的電子郵件攻擊。 在發動攻擊時,網路犯罪分子會把電子郵件偽裝得更加可信,向工業服務和設備供應商發送RFQ(詢價邀請),並附上準則。

工業公司經常收到這種詢價請求,客戶經理往往會打開準則文檔並準備一份提案,同時會忽略一些蛛絲馬跡,比如功能變數名稱和寄件者簽名之間的不同。 在這裡,我們感興趣的是網路犯罪分子如何讓接收者運行惡意軟體。 這種郵件是這樣的:

帶有惡意軟體連結的信件

 

看到附帶的 PDF 文件了嗎? 其實,您看到的根本不是附件。 Outlook 確實會將郵件的附件顯示成這樣,然而您還是可以發現一些不同之處:

 

附件的圖示應該與操作系統中與 PDF 文件所關聯的應用程式匹配。 如果不符合,那麼它就不是附件,或者這個附件不是 PDF 文件;

將滑鼠懸停在真正的附件上,就會顯示出有關檔名、類型、大小的詳細資訊。 否則,您就會看到一條連結,指向某個可疑的網址;

檔案名旁邊的箭頭應該是高亮顯示的,同時具有按鈕功能,可以彈出上下文功能表;

附件應該在單獨的區塊中顯示,而不是出現在郵件的正文中,如下圖:

真實的 PDF 附件

 

其實,下面這個偽裝成 PDF 附件的東西只是一張普通圖片。 如果您用滑鼠將其選中,或者使用 Ctrl + A 選擇全部內容,就能明顯看出問題。

偽裝成 PDF 附件的圖像

 

這種圖像是給惡意程序連結打掩護的。 如果點擊了連結,就會下載到間諜木馬。

 

攻擊實例

在這個特別案例中,惡意連結指向一個名為 Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab 的檔案,其中包含一個木馬病毒的載入程式。 卡巴斯基將其識別為 Trojan-Spy.Win32.Noon,這是一個十分常見的間諜木馬。 已知自2017年起,攻擊者們開始使用這個病毒從輸入表單中竊取密碼和其他資訊。

 

如何確保安全

為避免間諜木馬程式對您的公司造成傷害,請在所有能夠訪問 Internet 的設備上安裝可靠的安全解決方案,以防止惡意軟體運行。

 

此外,您還應該對員工開展培訓,識別網路犯罪分子藏在電子郵件中的詭計。

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: