经过 帕特尔硬 和 布兰登·库克Cofense 网络钓鱼防御中心
在网络便利已成为常态的时代,通过欺诈网站进行身份盗窃的风险有所增加。随着越来越多的服务转向在线开展业务,利用的可能性也在增加。这些网站对人身安全构成重大风险,并破坏公众对我们现有数字基础设施的信任。 Cofense 网络钓鱼防御中心最近观察到的一个威胁旨在冒充个人,让他们下载各种政府身份证件的屏幕截图并打开相机进行面部识别。此类网络钓鱼尝试会给个人带来重大风险,并可能对周围的组织或人员产生深远的影响。
图 1:企业邮箱正文
在上面的图 1 中,用户收到一封企业邮箱,指出他们需要验证自己的身份才能继续使用其帐户。失去功能或无法访问服务是诱骗用户提交信息的常见方法。该企业邮箱营造出一种紧迫感,提示收件人点击链接并以保护其帐户为幌子提供个人信息。他们可能会指出,未能在特定时间段内验证身份可能会导致访问限制或帐户暂停/删除。这种策略旨在诱骗用户点击链接,通常不花一秒钟来充分考虑请求的合法性。
图2:验证码页面
通过单击恶意链接,用户会看到一个伪装成验证码验证的网站(图 2),要求他们“选择带有汽车的图像以证明您是人类”。乍一看,这似乎是一个合法的安全检查。这种验证码样式的页面不太常见,使其成为一种有趣且具有欺骗性的策略。合法网站经常使用验证码挑战来提高安全性,因此许多用户可能会放松警惕,没有意识到他们正在与恶意网站进行交互。此外,底部令人放心的文字(“无需害怕,安全可靠”)似乎不合适且过于令人安心,这应该会引起一些怀疑。
图 3:国家和文件类型
通过验证码页面后,用户将被重定向到要求他们“验证身份”的网站(图 3)。此页面提示用户选择签发其身份证件的国家/地区以及他们计划上传的文件类型,例如护照、驾驶执照或国民身份证。有多个迹象表明该页面不合法。首先,URL 是一个重大危险信号。该域名(agrosolosap(.)com(.)br)与身份验证或任何官方政府或企业服务无关。合法验证页面通常使用与金融机构或政府机构关联的受信任域。此外,文本内容含糊不清,缺乏关于为什么需要验证的具体细节,进一步引起怀疑。真实身份验证系统通常会明确解释其目的以及用户应该期望什么。
图 4:下载政府 ID
当选择国家和证件类型时,用户会遇到一个页面,要求用户再次“验证您的身份”,但这次它要求用户上传所选身份类型的照片。该页面提示用户选择并下载其 ID 前面的几种文件格式之一。设计仍然像前面的页面一样简单,有一个代表用户名的简单图标和一个下载文件的按钮。此外,底部有一个锁定图标,并附有文字,声称“您的数据已得到安全处理”,进一步试图让用户相信这是一个安全合法的请求。
图5:面部识别
在这次收获攻击的最后一页,用户收到“自拍验证”请求,要求他们“将脸放在圆圈中”。此步骤模仿生物识别验证过程,这在身份验证中越来越常见。页面底部有一个“开始录制”按钮,表明用户即将进行实时录制会话以捕获其面部图像以进行验证。这种策略非常不寻常,并且比传统的诈骗尝试更不常见。包括“自拍检查”和实时视频录制的元素是一种更复杂的策略,它利用了用户对生物识别验证系统日益熟悉的优势。随着iPhone上Face ID等生物识别技术的广泛使用,人们更加担心生物识别数据可能被恶意网站复制或欺骗。人工智能技术为犯罪分子提供了操纵和利用被盗信息的先进工具,从而放大了面部数据盗窃的威胁。
试图获取政府身份证并模仿面部验证的恶意网站日益复杂,对数据隐私构成了严重挑战。这些攻击破坏了对数字验证过程的信任,并使数百万用户面临身份盗窃的风险。识别企业邮箱中的危险信号,例如通用称呼、可疑链接或语法错误,可以帮助防止身份盗窃并在日益数字化的世界中保护个人信息。为了有效减轻此类系统的影响,需要结合增强的网络安全协议、公共教育和监管工作来保护个人数据。
妥协指标 |
知识产权 |
hXXps://linktr(.)ee/verfyd |
151(.)101(.)130(.)133 151(.)101(.)194(.)133 151(.)101(.)2(.)133 151(.)101(.)66(.)133 |
hXXps://ingress(.)linktr(.)ee/uLZfGRmpj7 |
146(.)75(.)38(.)133 |
hXXps://cier(.)ge/ |
208(.)109(.)232(.)214 |
hxxps://agrosolosap(.)com(.)br/wp-includes/pomo/home/ |
108(.)179(.)253(.)64 |
Cofense 引用的所有第三方商标,无论是徽标、名称、产品形式还是其他形式,均属于其各自所有者的财产,并且使用此类标记绝不表明 Cofense 与品牌所有者之间存在任何关系。 。本博客中有关绕过端点保护的所有观察结果均基于单个时间点和一组特定系统配置的观察结果。后续更新或不同的配置可能会有效阻止这些或类似的威胁。过去的表现并不能保证未来的结果。
Cofense® 和 PhishMe® 名称和徽标,以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标,都是 Cofense Inc. 的注册商标或商标。
Leave A Comment