作者：康安

Cofense Intelligence 最近发现了一系列以奖金为主题的年终和假期凭证网络钓鱼企业邮箱。这些邮件因其季节性吸引力和欺骗收件人业务的能力而引人注目。此次活动针对的受害组织主要属于采矿、采石以及石油和天然气开采行业。本文将重点介绍该活动最复杂的迭代，其特征还在于在附加的 Microsoft Word 文档中使用 QR 码来提供凭据网络钓鱼链接。不良行为者有时会使用二维码绕过安全企业邮箱网关 (SEG)，并增加目标在不知道链接会将其带到何处的情况下跟踪链接的机会。

活动结构

此活动中的企业邮箱旨在冒充受害者的组织，最复杂的示例使用品牌资产来显得合法。诱惑通常是围绕人力资源团队构建的，感谢接受者过去一年的辛勤工作，并向他们提供年终奖金。最后，诱饵会提示收件人打开附加的 Microsoft Word 文档以获取更多详细信息。下图显示了该企业邮箱，但由于欺骗的敏感性而经过大量编辑。

图 1：凭据网络钓鱼企业邮箱的示例。

所附文档包含一个二维码，该二维码伪装成 SharePoint 链接，但实际上会指向凭据网络钓鱼页面，如图 2 所示。该文档的值得注意之处在于它直接发送给收件人，并试图假装它是机密的让收件人感觉他们收到了独特的优惠。

图 2：随附的 Microsoft Word 文档，其中包含网络钓鱼二维码。

当访问 QR 码时，受害者会被带到一个模仿 Microsoft 登录页面的凭据网络钓鱼页面，如图 3 所示。

图 3：嵌入二维码中的凭证网络钓鱼页面。

输入受害者组织的企业邮箱地址后，凭据网络钓鱼页面会要求输入密码并显示该组织的品牌资产，以使登录更加可信，如图 4 所示。

图 4：凭据网络钓鱼页面要求输入密码并显示受害者的组织徽标，使其看起来像合法的登录屏幕。