作者：Sabi Kiss，Cofense 网络钓鱼防御中心

网络钓鱼攻击变得越来越复杂，针对员工的攻击策略的最新趋势凸显了这种演变。在这篇博文中，我们将分解最近冒充公司人力资源部门的网络钓鱼尝试，并提供详细信息以帮助您识别并避免成为此类诈骗的受害者。

这封网络钓鱼企业邮箱是在受 Google、Outlook 365 和 Proofpoint 保护的环境中检测到的，其设计看起来像是来自贵公司人力资源部门的官方通信。它会到达您的收件箱，并带有引人注目的主题行，邀请您查看员工手册。

企业邮箱的表现形式和语言进一步强化了其合法性。它以正式的问候语开始，并以商务通信中典型的结构化格式呈现消息。使用的语言专业、清晰、直接，模仿员工期望人力资源部门的语气和风格。

主题行“重要：修订后的员工手册”立即引起了人们的注意并营造了一种紧迫感。这种策略旨在激发收件人快速采取行动，促使他们毫不犹豫地打开企业邮箱并参与其中的内容。

企业邮箱正文包括商务通信中典型的正式语言和指南。它一开始是礼貌的问候，很快就变成了审查修订后的员工手册的指令。该企业邮箱强调了遵守特定截止日期（通常是在一天结束之前）的重要性，从而在收件人中培养紧迫感和重要性。

此网络钓鱼企业邮箱的主要目的有两个：诱骗收件人单击嵌入的超链接并诱骗他们在虚假登录页面上输入凭据。通过看似来自可信来源（员工的人力资源部门），该企业邮箱利用权威性和紧迫性来说服收件人立即采取行动，而无需质疑请求的真实性。

威胁行为者使用心理策略，例如担心不遵守公司政策以及承诺手册中概述的重大更改，来操纵收件人点击恶意链接。这种心理操纵的目的是克服收件人在处理未经请求的企业邮箱时本能的怀疑态度和谨慎态度。

该企业邮箱包含隐藏在名称“修订后的员工手册的人力资源合规部分”下的超链接。单击此链接会将您带到一个模仿合法文档托管站点的页面。在这里，您将看到一个“继续”按钮以继续。

单击“继续”会将您带到一个似乎带有 Microsoft 品牌的页面。这就是网络钓鱼攻击变得更加复杂的地方。该页面要求您输入 Microsoft 用户名，它看起来非常有说服力。

不良行为者的策略是通过向您提供看似合法的网站来获取您的信任，并要求您使用公司的 Microsoft 凭据登录。以下是接下来发生的事情的详细描述：

1. 获取凭证：当您输入公司企业邮箱地址并点击“下一步”时，您将进入类似于公司的 Microsoft Office 365 登录页面。
2. 错误信息：输入您的用户名和密码（可选）后，您会收到一条错误消息，指出：“发生了意外的内部错误。请再试一次。 » 此消息是一个诡计。
3. 重定向到合法登录页面：然后您将被重定向到公司的 SSO/Okta 登录页面，这让您认为这是一个小问题。与此同时，威胁行为者已捕获您的用户名并也许你的密码。

这次网络钓鱼活动表明，利用企业环境中的信任和紧迫性的网络威胁日益复杂。通过模仿合法的人力资源沟通并利用心理操纵，不良行为者试图诱骗员工披露敏感信息。保持警惕和强大的网络安全措施（包括用户意识培训和高级企业邮箱安全解决方案）对于减轻这些风险并保护组织免受网络钓鱼攻击至关重要。加强网络钓鱼防御需要采取多层方法，将技术解决方案与授权和警惕的员工结合起来作为第一道防线。

Cofense 引用的所有第三方商标，无论是徽标、名称或产品形式还是其他形式，仍然是其各自所有者的财产，并且使用此类商标绝不表明 Cofense 与商标所有者之间存在关系。本博客中有关绕过端点保护的所有观察均基于基于一组特定系统配置的时间点观察。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。