據(jù)BleepingComputer網(wǎng)站報道，一個冒充美國勞工部的網(wǎng)絡(luò)釣魚活動以要求收件人提交競標為幌子，竊取用戶的Office 365憑證。

據(jù)悉，該釣魚活動已經(jīng)持續(xù)了至少幾個月，并利用了十多個不同的網(wǎng)絡(luò)釣魚站點來冒充政府機構(gòu)。電子郵件安全公司 INKY在一份報告中解釋了該網(wǎng)絡(luò)釣魚攻擊是如何竊取憑證的。

這些電子郵件均由虛假域名發(fā)出，看起來就像是來自真實的勞工部(DoL)網(wǎng)站，而有些則基于一組新創(chuàng)建的外觀相似，如：dol-gov[.]com，dol-gov[.]us‘，bids-dolgov[.]us等域名。

大多數(shù)電子郵件通過非營利組織擁有的濫用服務(wù)器來逃避安全驗證。

郵件發(fā)件人假裝是DoL的高級員工，邀請收件人為正在進行的政府項目提交投標。這些電子郵件包含有效的信頭、專業(yè)安排的內(nèi)容以及三頁看似權(quán)威的PDF附件。

釣魚活動中使用的電子郵件示例，來源：INKY

PDF 包含一個“BID”按鈕，如果單擊該按鈕，受害者就會進入網(wǎng)絡(luò)釣魚站點。這些站點看起來和真實的DoL網(wǎng)站如出一轍，并會彈出消息提示，以指導受害者完成“投標”。

指向釣魚網(wǎng)站的按鈕，來源：INKY

釣魚過程最關(guān)鍵的一步是在受害者被引導至一個注冊表格頁面，要求他們提供Office 365電子郵件地址及密碼。無論受害者是否輸入正確，網(wǎng)站都會彈出一個虛假錯誤提示，誘騙受害者再次輸入，以提高所竊取賬號的真實性。

竊取 Microsoft Office 365憑證的注冊頁面，來源：INKY

在這起釣魚事件中，逼真的網(wǎng)頁和措辭權(quán)威的郵件內(nèi)容體現(xiàn)了網(wǎng)絡(luò)釣魚者的專業(yè)程度，這無不令人感到擔憂。在這種情況下，最顯著的破綻就是假冒的DoL網(wǎng)站要求使用Office 365賬號注冊登錄，這是任何美國政府部門網(wǎng)站都沒有采取的登錄措施。

在去年12月也發(fā)生過一起類似的事件，網(wǎng)絡(luò)釣魚者冒充輝瑞，并使用精心制作的 PDF 附件邀請收件人向制藥公司提交投標，以此來竊取受害者的商業(yè)和財產(chǎn)信息。

參考來源：

https://www.bleepingcomputer.com/news/security/phishing-attacks-impersonate-pfizer-in-fake-requests-for-quotation/