发现于受 Microsoft ATP 保护的环境中

作者：Brandon Cook 和 Andy Mann，Cofense 网络钓鱼防御中心

世界各地的公司通过调查来了解员工对各种主题的看法，从公司价值观到下一次午餐应该在哪里举行。调查可以通过多种方式分发，但最流行的方法是企业邮箱。对于恶意行为者来说，这是采取行动的绝佳机会。

Cofense 网络钓鱼防御中心 (PDC) 最近发现并分析了一项旨在获取 Microsoft Office 365 凭据的网络钓鱼活动，威胁行为者利用常见的业务活动并发送了一份伪装成年中承诺的虚假调查问卷，以窃取员工的信息。信息。

Cofense PDC 之前曾遇到过多种类型的 HR 网络钓鱼攻击，但很少见到伪装成年中敬业度调查的网络钓鱼攻击。年中参与是许多组织采用的常见策略，以了解如何改进。为了增添真实感，员工不会直接进入虚假的 Microsoft Office 365 页面，而是被重定向到一个网页，要求他们验证全名以开始“调查”。

图 1：企业邮箱正文

在这封网络钓鱼企业邮箱中，威胁行为者欺骗了合法公司的域名，使企业邮箱看起来像是来自收件人的人力资源部门。尽管该域与收件人的公司没有真正的联系，但企业邮箱的签名名称为“人力资源”，这增加了真实性。企业邮箱中使用的词汇用于迫使收件人遵守规定，表明这项义务对所有员工都是强制性的，而且会很短，从而产生紧迫感。
 

该企业邮箱包含一个“开始参与度调查”按钮，单击该按钮会将收件人重定向到旨在确认其身份的网站。这种紧迫性、权威性语言和看似合法的请求的结合旨在降低接收者的警惕性并促使他们立即采取行动。

图 2：网络钓鱼页面

单击该链接后，收件人将被重定向到一个网站（图 2），该网站提示他们在单击“开始调查”按钮之前输入名字和姓氏，尽管该调查在最初的企业邮箱中被描述为“匿名且保密” （图1）。尽管有些调查要求提供身份证明，但大多数情况下提供的链接是特定于收件人的，不需要确认，或者需要确认企业邮箱地址。这允许这些类型的调查跟踪使用情况、限制调查提交的垃圾邮件和/或向发送者发送确认信息。

登录页面托管在表单构建网站 Wufoo 上，该平台的服务有时会被恶意行为者用于网络钓鱼目的。由于此类服务易于使用且用户熟悉，利用此类服务​​是网络钓鱼操作中的常见策略。此外，该页面没有提及公司或品牌，这微妙地表明它不是由接收者组织合法赞助的。
 
输入名字和姓氏并单击按钮后，收件人将被重定向到恶作剧的最后一页。
 

图 3：网络钓鱼页面

用户单击“开始调查”按钮后，他们将被重定向到一个看起来像 Microsoft 登录的页面（图 3）。当涉及到凭据收集时，这是最常见的欺骗登录。尽管其外观很熟悉，但最明显的危险信号是 URL，它显示为“niiansesnet0.cfd”，该域与 Microsoft 或收件人的组织没有任何关系。

这次网络钓鱼活动说明了不良行为者如何利用紧迫性和时机来欺骗收件人。通过冒充合法来源（例如发布年中敬业度调查的人力资源部门）并使用 Microsoft 等熟悉的平台，这些攻击可能会逃脱未经训练的眼睛。然而，不一致的情况，例如可疑的 URL 和所谓的匿名调查中对个人信息的请求，可能是欺骗的关键指标。识别这些迹象对于保护自己免受此类诈骗并防止凭证被盗至关重要。联系我们了解更多信息。

 
Cofense 引用的所有第三方商标，无论是徽标、名称或产品形式还是其他形式，仍然是其各自所有者的财产，并且使用此类商标绝不表明 Cofense 与商标所有者之间存在关系。本博客中有关绕过端点保护的所有观察均基于基于一组特定系统配置的时间点观察。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。