據(jù)BleepingComputer網(wǎng)站消息，根據(jù)安全研究員的一份報(bào)告，英國數(shù)字銀行平臺(tái)Monzo的用戶正成為釣魚攻擊的目標(biāo)。

Monzo 是英國最受歡迎的純數(shù)字銀行平臺(tái)之一，目前已擁有超過 400 萬客戶。

網(wǎng)絡(luò)釣魚過程

報(bào)告稱，釣魚活動(dòng)始于一條顯示來自Monzo的短信，要求收件人點(diǎn)擊所附帶的鏈接以重新驗(yàn)證他們的賬戶。點(diǎn)擊鏈接后，用戶會(huì)被帶到一個(gè)登錄電子郵箱的釣魚頁面，并要求提供Monzo賬戶信息，包括姓名、電話號(hào)碼以及Monzo身份識(shí)別碼。如果用戶最終不慎提交了這些信息，攻擊者就能著手接管其Monzo賬戶。

含有鏈接的釣魚短信

當(dāng)攻擊者在手機(jī)等新設(shè)備上安裝 Monzo 應(yīng)用程序時(shí)，會(huì)將首次登錄的設(shè)備驗(yàn)證鏈接發(fā)送到用戶的電子郵件地址。由于攻擊者已經(jīng)掌握受害者的電子郵件帳戶，他們可以通過鏈接驗(yàn)證設(shè)備，從而獲得對(duì) Monzo 帳戶的完全控制權(quán)。如果電子郵件帳戶受雙因子驗(yàn)證(2FA)保護(hù)，研究員認(rèn)為攻擊者可能會(huì)通過額外的社會(huì)工程學(xué)步驟來竊取。

不要點(diǎn)擊任何鏈接

Monzo已在推特上提醒用戶存在欺詐現(xiàn)象，表示絕對(duì)不會(huì)通過短信向用戶發(fā)送鏈接驗(yàn)證帳戶，或要求登錄網(wǎng)站以確認(rèn)任何帳戶詳細(xì)信息。如果不慎點(diǎn)開了鏈接并提供了信息，需立即重置賬戶密碼，并在電子郵件和Monzo賬戶上激活多因素身份驗(yàn)證(MFA)。

參考來源：https://www.bleepingcomputer.com/news/security/new-phishing-campaign-targets-monzo-online-banking-customers/