自 9 月中旬以来,一个复杂的网络钓鱼工具包一直以北美为目标,使用针对劳动节和万圣节等假期的诱饵。
该工具包使用多种逃避检测技术,并结合了多种机制,使非受害者远离其网络钓鱼页面。
根据 Akamai 的说法,其安全研究人员发现了该活动,该工具包最有趣的功能之一是基于令牌的系统,可确保每个受害者都被重定向到一个唯一的网络钓鱼页面 URL。
活动概览
Akamai 发现的该活动于 2022 年 9 月开始,并持续到整个 10 月,以寻找“假日特价商品”的在线购物者为目标。
发送给潜在受害者的网络钓鱼电子邮件的中心主题是有机会赢得知名品牌的奖品。
电子邮件中的链接不会引发任何警报,因为它们在经过一系列重定向后会指向钓鱼网站,而 URL 缩短器会隐藏大多数 URL。
此外,攻击者滥用 Google、AWS 和 Azure 等合法云服务,滥用其良好声誉来绕过保护机制。
每个访问钓鱼网站的人都会在完成简短调查后赢得承诺的奖品。此外,五分钟的计时器确保参与调查的人充满紧迫感。
一些假冒品牌包括体育用品公司 Dick’s、高端行李箱制造商 Tumi、达美航空以及批发俱乐部、山姆会员店和好市多。
来源: ScamWatcher
为了提高活动的有效性,网络钓鱼行为者包括虚假的用户推荐来展示所收到的奖品。
来源:Akamai
“赢得”奖品后,受害者需要支付收到奖品的运费,为此他们需要输入他们的支付卡详细信息。
当然,没有奖品可以运送,信用卡详细信息被威胁行为者窃取用于在线购买。
Akamai 表示,大约 89% 登陆网络钓鱼域的用户来自美国和加拿大。
根据他们的确切位置,重定向将他们带到不同的网络钓鱼站点,冒充当地可用的品牌。
每个受害者都有一个唯一的 URL
每封网络钓鱼电子邮件都包含一个指向登录页面的链接,该链接带有一个锚点 (#),通常用于将访问者引导至链接页面的特定部分。
在此网络钓鱼活动中,锚标记代表 JavaScript 在网络钓鱼登陆时使用的令牌,用于重建目标将被重定向到的 URL。
“HTML 锚点之后的值不会被视为 HTTP 参数,也不会被发送到服务器,但受害者浏览器上运行的 JavaScript 代码可以访问该值,” Akamai 解释说。
“在网络钓鱼诈骗的背景下,当验证它是否是恶意的安全产品扫描时,放置在 HTML 锚点之后的值可能会被忽略或忽略。”
“如果通过交通检查工具查看,这个值也会被遗漏。”
Akamai 分享了下图,展示了网络钓鱼链接锚点如何用于创建重定向链接。
安全产品和网络流量检测工具会忽略此令牌,因此不会给网络钓鱼行为者带来风险。
相反,它有助于使不需要的流量、研究人员、分析师和随机访问者远离网络钓鱼登录页面。
那些没有有效令牌以及不使用 JavaScript 进行呈现的浏览器重定向将无法访问钓鱼网站。
除了过滤非受害者之外,令牌还可以用于特定于受害者的跟踪、活动绩效衡量等。
总之,该工具包结合了几乎所有已知的有效性和检测规避技术,使其成为对北美的潜在威胁。
随着黑色星期五和圣诞节购物季的临近,消费者在收到有关促销和特别优惠的信息时应格外警惕。
