作者：Jhon Revesencio，Cofense 网络钓鱼防御中心

Zoom 因其成为从重要业务会议到协作项目等各种活动的首选服务而闻名。但是，如果这个工具可能被恶意行为者利用来渗透您的帐户怎么办？在我们日益数字化的世界中，即使是最有信誉的平台也可能成为网络钓鱼攻击的武器，使组织面临重大风险。了解这些威胁对于保护您的业务并保持对我们日常使用的工具的信任至关重要。

Cofense 网络钓鱼防御中心 (PDC) 发现了一个通过合法 Zoom Docs 链接针对 Microsoft 帐户的巧妙网络钓鱼计划。这种网络钓鱼通常将自己呈现为共享文件，诱骗用户点击它。通过引发紧迫感并利用与知名平台相关的信任，它巧妙地操纵个人损害他们的凭证。

图 1：企业邮箱正文

在图 1 中，企业邮箱似乎来自 无回复@zoom.us许多合法 Zoom 企业邮箱中发现的典型地址。由于多种原因，许多组织通常使用无回复企业邮箱地址。在本例中，Zoom 将其用于 Zoom 文档企业邮箱。这封企业邮箱的设计看起来像是一份正式的合同提案邀请函，并且由于使用 Zoom Docs 发送这封企业邮箱，因此典型的威胁标识符并不那么清晰可见。通过采用这种策略，威胁行为者可能会减少收件人的怀疑，因为该链接会将他们定向到合法的 Zoom Docs URL。

图 2：Zoom 文档页面

通过单击“下载安全附件”超链接，收件人将被重定向到真实的 Zoom 文档页面。此页面的目的是激发好奇心并创造紧迫感。通过将该提案视为一个紧急机会，该页面试图迫使收件人不假思索地点击链接或下载某些内容。
 

图 3：非 Windows 登录页面

此网络钓鱼活动最有趣的方面之一是其量身定制的方法，专门设计用于诱骗 Windows 用户并愚弄其他用户。当用户点击合法 Zoom 文档页面的恶意链接时，他们就会陷入专门为他们设计的狡猾陷阱。该网络钓鱼活动使用直观的技术，检查用户是否在 Windows 环境中操作。非 Windows 用户会遇到图 3 中的页面，实际上，该页面不会导致凭据网络钓鱼页面。这显示了不良行为者如何创造性地试图捕获毫无戒心的用户。

图4：钓鱼页面

一旦用户从合法的 Zoom Docs 页面访问恶意链接，如果在 Windows 环境中操作，他们会遇到如图 4 所示的虚假 Microsoft 登录页面。由于此网络钓鱼活动专门针对 Windows 用户，因此很自然地威胁行为者会模仿这种广泛使用的登录页面。

此类策略揭示了自动化安全系统的缺点，凸显了人工监控在检测和报告可疑活动方面的关键作用。通过利用 Cofense 的托管网络钓鱼威胁检测和响应 (MPDR) 等解决方案，组织可以全面了解实际的网络钓鱼威胁，从而显着加强对这些不断发展的策略的防御。 Cofense MPDR 通过提供超越传统防御的多层安全方法来为组织提供支持。凭借实时威胁情报和主动监控，Cofense 可以帮助组织领先于网络犯罪分子。他们的网络钓鱼防御中心 (PDC) 为企业提供有效识别、响应和减轻网络钓鱼攻击所需的工具。通过培养一种意识文化并为员工提供识别威胁的知识和资源，Cofense 确保组织不仅能够快速响应，而且能够抵御复杂的网络钓鱼尝试。这一全面的策略可显着改善组织的安全状况，降低违规风险并促进更安全的数字环境。联系我们了解更多信息。

Cofense 引用的所有第三方商标，无论是徽标、名称、产品形式还是其他形式，均属于其各自所有者的财产，并且使用此类标记绝不表明 Cofense 与品牌所有者之间存在任何关系。本博客中有关绕过端点保护的所有观察结果均基于单个时间点和一组特定系统配置的观察结果。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。