[[441615]]

輝瑞公司(Pfizer)因生產(chǎn)mRNA新冠疫苗而成為網(wǎng)絡(luò)釣魚(yú)攻擊者的熱門(mén)假冒對(duì)象。近日，根據(jù) INKY 的一份最新報(bào)告，2021年8月15日左右開(kāi)始的一個(gè)網(wǎng)絡(luò)釣魚(yú)電子郵件活動(dòng)冒充了輝瑞公司，試圖從受害者那里竊取商業(yè)和財(cái)務(wù)信息。

此釣魚(yú)活動(dòng)背后的參與者在網(wǎng)絡(luò)釣魚(yú)活動(dòng)中非常“勤奮”，他們將“干凈”的 PDF 附件與新注冊(cè)的冒牌輝瑞域名結(jié)合起來(lái)(這些新注冊(cè)的域名網(wǎng)址看上去非常像輝瑞的官方站點(diǎn))。攻擊者使用的仿冒域名為：pfizer-nl[.]com、pfizer-bv[.]org、pfizerhtlinc[.]xyz、pfizertenders[.]xyz，這些仿冒域名是通過(guò) Namecheap 注冊(cè)的，Namecheap 接受加密貨幣作為支付方式，允許購(gòu)買(mǎi)者保持匿名。

攻擊者利用仿冒域名生成的電子郵件帳戶，發(fā)送釣魚(yú)電子郵件，以繞過(guò)企業(yè)常見(jiàn)的電子郵件保護(hù)解決方案。這些釣魚(yú)郵件的主題通常涉及緊急報(bào)價(jià)、招標(biāo)和工業(yè)設(shè)備供應(yīng)等，如圖1所示。在 INKY 分析師看到的 400 個(gè)釣魚(yú)郵件的大多數(shù)樣本中，攻擊者都使用具有專(zhuān)業(yè)外觀的3頁(yè) PDF 文檔討論到期日、付款條件和與合法報(bào)價(jià)請(qǐng)求相關(guān)的其他詳細(xì)信息。

圖1：網(wǎng)絡(luò)釣魚(yú)電子郵件樣本(來(lái)源：INKY)

該 PDF 文檔不包含會(huì)被電子郵件安全工具檢測(cè)并標(biāo)記的惡意軟件投放鏈接或網(wǎng)絡(luò)釣魚(yú)網(wǎng)址，甚至沒(méi)有釣魚(yú)郵件常見(jiàn)的錯(cuò)別字問(wèn)題。但是，收件人需要將他們的報(bào)價(jià)發(fā)送到假冒的輝瑞域名郵件地址，例如quote@pfizerbvl[.]com或quote @pfizersupplychain[.]com之類(lèi)。

雖然該釣魚(yú)活動(dòng)的確切目標(biāo)尚不清楚，但 PDF 文檔包含付款條款這一事實(shí)表明，攻擊者很可能將在某個(gè)時(shí)候要求收件人進(jìn)一步分享他們的銀行詳細(xì)信息。如果收件人提供了支付信息，攻擊者可能會(huì)在未來(lái)針對(duì)目標(biāo)用戶的其他 BEC 活動(dòng)中使用它。

此外，由于攻擊者在第一次接觸時(shí)不要求提供個(gè)人詳細(xì)信息，這會(huì)大大降低收件人的警惕性。回復(fù)這些釣魚(yú)電子郵件只會(huì)將受害者推入更深的騙局，因?yàn)樗麄円詾樽约河邢Ｍc一家著名公司達(dá)成一項(xiàng)有利可圖的交易。

安全專(zhuān)家指出，當(dāng)收到此類(lèi)包含異常投標(biāo)請(qǐng)求的電子郵件時(shí)，應(yīng)當(dāng)撥打?qū)Ψ焦镜某Ｒ?guī)電話號(hào)碼，與相關(guān)聯(lián)系人通話核實(shí)，以確保安全。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文