发现于受以下保护的环境中： 微软

作者：Andrew Mann，Cofense 网络钓鱼防御中心

如今，每个人都有一个社交网络，无论是 Instagram、X、YouTube 还是 Facebook。 这是与家人和朋友沟通和保持联系的好方法，但与此同时，看到您的社交网络成为网络攻击的受害者可能会很可怕。

这些类型的活动说明了安全企业邮箱网关 (SEG) 或任何其他类型的自动化系统如何会错过只有受过训练的眼睛才能检测到的事情。 Cofense 网络钓鱼防御中心 (PDC) 威胁分析师经过适当的培训和装备，可以检测在使用 SEG 的环境中出现的网络钓鱼活动。

在 PDC，我们在社交媒体上看到了许多钓鱼网站，从 X 到 Instagram、Telegram、Snapchat 和 Facebook。 这些攻击可能旨在通过发送一封企业邮箱说明“您的密码需要更新”或“您的帐户将被删除”来获取您的用户名和密码。 单击此处以避免终止！ »

这些网络钓鱼对于未经训练的人来说已经非常有可能并且具有诱惑力，即便如此，不良行为者仍然做了值得称赞的工作，将这种网络钓鱼定制为看起来像真正的 Facebook/Meta 帐户终止企业邮箱。 他们之所以能够做到这一点，部分原因是他们使用了 Meta 的 Business Manager 服务，这有助于使企业邮箱更加真实。 当您不知道自己的帐户是否受到攻击时，收到此类企业邮箱可能会很可怕。 最好始终保持冷静，如果您不确定，不要急于单击企业邮箱中的任何内容。

图 1：企业邮箱正文

在上图中，您可以看到正文格式做得很好，语法正确且专业，并且他们为此特定帐户请求包含了唯一的案例编号。 他们还提供了信息帮助，以帮助引导用户满足所提出的请求。

可疑活动的一个指标是企业邮箱是否以“您好，需要立即采取行动”开头。 威胁行为者使用了一种简单的恐惧/紧急策略，让用户相信，如果他们不立即执行这些步骤，他们的帐户将被删除。 在这些类型的社交媒体网络钓鱼企业邮箱中非常流行的策略。

通常，如果我们点击蓝色大按钮，就会将我们带到网络钓鱼网站。 然而，在本例中情况并非如此，这也是为什么这是一封独特的网络钓鱼企业邮箱的原因之一。 相反，他们在商务管理平台请求者的企业邮箱列表部分中提供了上面的网络钓鱼 URL。

图2：钓鱼页面

访问上面的链接后，威胁行为者插入了他们的个性化企业邮箱，该企业邮箱会重定向到网络钓鱼网站。 这是一个非常标准的 Facebook/Meta 网络钓鱼网页，他们甚至在页面顶部贴了一条注释，称“您的帐户违反了我们的服务条款和社区准则”。

最后的威胁提醒，说服用户提供用户名和密码。 幼稚的观点可能会忽略该网站是假的这一明显的含义。 一些常见的线索是，如果这是 Facebook，则 URL 地址将是真正的 Meta/Facebook 域，例如 facebook(.)com，而不是 facebook(.)1006615(.)page。 威胁行为者试图通过在子域中至少包含 Facebook 名称来做出良好的尝试。

始终警惕网络犯罪分子可能构成的威胁。 他们寻找任何可以对用户不利的东西。 无论是信用卡信息、社会安全号码还是您的登录凭据，他们都会使用一切可能的手段来访问您的社交媒体帐户，以及您可能拥有的任何帐户。

Cofense 引用的所有第三方商标，无论是徽标、名称或产品形式还是其他形式，仍然是其各自所有者的财产，并且使用此类商标绝不表明 Cofense 与商标所有者之间存在关系。 本博客中有关绕过端点保护的所有观察均基于基于一组特定系统配置的时间点观察。 后续更新或不同的配置可能会有效阻止这些或类似的威胁。 过去的表现并不能保证将来的结果。

Cofense® 和 PhishMe® 名称和徽标，以及本博客上显示的任何其他 Cofense 产品或服务名称或徽标都是 Cofense Inc. 的注册商标或商标。