警惕！实时电子邮件验证让网络钓鱼攻击变得更加智能

网络犯罪分子正在提高凭证盗窃的门槛，他们使用实时电子邮件验证技术，使网络钓鱼攻击更加高效，也更难被发现。Cofense 的研究人员发现了这种不断演变的策略，并将其命名为“精准验证网络钓鱼”——这种方法将目标列表缩小到仅包含那些已确认活跃且有价值的电子邮件地址。

与传统的网络钓鱼活动广撒网、寄希望于少量攻击不同，这种新方法精准且经过深思熟虑。攻击者不会向随机用户发送欺诈性登录页面，而是首先验证在钓鱼页面上输入的电子邮件地址是否存在于其预先收集的目标数据库中。如果验证通过，受害者将看到一个旨在窃取凭证的虚假登录屏幕。如果验证失败，受害者将被重定向到维基百科等良性网站，这有助于钓鱼网站避开自动安全扫描程序的检测。

这种实时验证是通过在钓鱼工具包中嵌入 API 或基于 JavaScript 的电子邮件验证工具来实现的。结果如何？窃取到的数据质量更高，浪费的精力更少，而且钓鱼活动也更难被网络安全工具发现和拦截。

筛选受害者以实现最大影响

Cofense 警告称，这种技术不仅增加了从真实使用中的帐户窃取凭据的可能性，而且还使用于捕获恶意网站的自动沙盒和爬虫工具的工作变得更加复杂。这些系统通常无法通过验证检查，从而使钓鱼页面能够保持更长时间的活动状态，并避免被标记为可疑。

这种级别的过滤为威胁行为者带来了巨大的优势。通过锁定已验证的目标，他们可以降低暴露风险并提高投资回报率。这种策略还有助于延长网络钓鱼活动的寿命，使防御者更难跟进。

文件删除钓鱼技巧采用双管齐下的攻击

更危险的是，攻击者将这些高级策略与社会工程学策略结合起来。最近观察到的一个活动使用文件删除提醒作为诱饵。受害者会收到一封电子邮件，其中似乎包含一个链接，指向一个计划从合法文件托管平台 files.fm 删除的 PDF 文件。点击该链接后，受害者确实会进入真正的托管服务，在那里他们可以访问看似 PDF 的文件。

问题在于：用户面临两个选项——预览或下载。预览会打开一个伪造的微软登录页面，旨在窃取凭证；下载则会触发一个伪装成微软OneDrive的可执行文件的安装。该程序实际上是ScreenConnect，这是ConnectWise推出的一款合法远程桌面工具，经常被威胁行为者滥用进行未经授权的访问。

据 Cofense 称，此次攻击旨在巧妙操纵用户行为。受害者被迫在两个同样危险的选项之间做出选择，每个选项都会以不同的方式导致系统被入侵。这种双管齐下的设置确保威胁行为者能够实现其目标，无论是窃取凭证还是部署恶意软件。

网络钓鱼与远程访问和语音钓鱼策略相结合

另一个令人担忧的进展是，网络安全研究人员发现了一场多阶段攻击活动，该活动融合了网络钓鱼、电话诈骗（语音钓鱼）、远程访问工具和“离地攻击”技术。此次复杂的行动与威胁行为者组织 Storm-1811（也称为 STAC5777）有关。

攻击始于一条包含恶意 PowerShell 负载的 Microsoft Teams 消息。获得初始访问权限后，攻击者使用 Microsoft 的“快速助手”功能远程控制系统。之后，他们会安装 TeamViewer 等合法软件以及侧载恶意 DLL，最后使用 Node.js 部署基于 JavaScript 的命令与控制后门。

这些事件凸显了当今网络钓鱼威胁日益复杂和富有创造力。攻击者将技术复杂性与心理操控相结合，成功绕过传统防御措施，甚至欺骗谨慎的用户。

最好的防御仍然是保持警惕。组织必须随时了解这些新出现的威胁，用户在点击链接、输入凭证或下载文件之前需要三思而后行——无论它们看起来多么合法。