為了取信於使用者,網釣郵件主旨寫上了受害者企業名稱,郵件內容則有受害者名字,並說使用者有一通未接的語音訊息,於郵件中嵌入一個「聆聽/下載」按鍵,以將使用者導至偽造的Office 365憑證輸入畫面來聽取留言。為了逃避安全機制的偵測,駭客挾持了英國牛津大學的SMTP伺服器,而藏匿在按鍵中的連結,則是盜用了三星所使用的Adobe Campaign伺服器。(示意圖,圖片來源/Checkpoint)

以色列資安業者Check Point近日揭露了一起盜用英國牛津大學、Adobe及三星電子旗下資源所展開的網釣攻擊行動,駭客企圖透過這些合法的品牌來掩護攻擊行動,使得不管是企業的安全機制或是使用者皆難以察覺。

這波網釣攻擊經過了精心的策畫,企圖同時欺騙使用者及企業的安全機制。為了取信於使用者,郵件主旨寫上了受害者企業名稱,郵件內容則有受害者名字,並說使用者有一通未接的語音訊息,於郵件中嵌入一個「聆聽/下載」按鍵,以將使用者導至Office 365的憑證輸入畫面來聽取留言。

而為了逃避安全機制的偵測,駭客挾持了英國牛津大學的SMTP伺服器,其原始信件是來自NordVPN,但繞道牛津的SMTP與中繼伺服器,讓寄件人的網域顯示為牛津大學,閃過安全機制的第一道檢查。

而藏匿在按鍵中的連結,則是盜用了三星所使用的Adobe Campaign伺服器。Adobe Campaign是Adobe所推出的行銷服務,而三星在加拿大的分公司,因使用了該服務而設立了一個專用伺服器,此一行銷專用的伺服器是開放的,而Adobe Campaign則有一個重新導向功能,能夠將使用者導至特定的網址,以計算行銷效益。

於是,駭客潛入了三星的Adobe Campaign伺服器,竄改了三星舊有行銷活動的導向路徑,且並非直接導至網釣頁面,而是先導到已經被駭客危害的WordPress網站,以WordPress網站作為掩護及跳板,再將使用者送到網釣頁面。

由於不管是寄件人的郵件位址,或是郵件中所包含的連結,都是來自於看起來合法及可靠的來源,因而可躲過尋常的安全機制。

Check Point指出,除了牛津大學以外,駭客並非藉由安全漏洞入侵三星或Adobe,只是濫用了它們的資源,同時這也突顯了本地端的安全解決方案很容易就被繞過,建議企業最好採用雲端及電子郵件安全解決方案,此外,Adobe也已採取了必要行動,以預防駭客再藉由其服務發動類似的攻擊。


Advertisement

更多 iThome相關內容