提防！即時電子郵件驗證讓網路釣魚攻擊變得更加智能

網路犯罪分子正在提高門檻，採用令人不安的新方法竊取憑證，利用即時電子郵件驗證使網路釣魚攻擊更加高效且更難檢測。 Cofense 的研究人員已經發現了這種不斷演變的策略，並將其稱為「精確驗證網路釣魚」——一種將目標清單縮小到僅確認活躍且有價值的電子郵件地址的方法。

與傳統的網路釣魚活動不同，這種活動不會廣泛撒網並希望獲得一些收益，而這種新方法則更加精確和深思熟慮。攻擊者不會向隨機使用者發送詐騙登入頁面，而是先驗證釣魚頁面上輸入的電子郵件地址是否存在於預先收集的目標資料庫中。如果檢查無誤，受害者就會看到一個旨在竊取憑證的虛假登入畫面。如果沒有，他們會被重新導向到像維基百科這樣的良性網站，這有助於釣魚網站避免被自動安全掃描器偵測到。

透過在網路釣魚工具包中嵌入 API 或基於 JavaScript 的電子郵件驗證工具，可以實現這種即時驗證。結果如何？被盜資料的品質更高、浪費的精力更少，網路安全工具更難發現和關閉網路釣魚活動。

篩選受害者以達到最大影響

Cofense 警告稱，這種技術不僅增加了從真實使用中的帳戶竊取憑證的機會，而且還使旨在捕獲惡意網站的自動沙盒和爬蟲工具的工作變得複雜。這些系統通常無法通過驗證檢查，從而使釣魚頁面保持更長時間的活動狀態並避免被標記為可疑。

這種程度的過濾為威脅行為者提供了巨大的優勢。透過鎖定已驗證的目標，他們可以降低風險並提高投資回報。這種策略也有助於延長網路釣魚活動的壽命，使防禦者更難以跟上。

文件刪除釣魚技巧採用雙管齊下的攻擊

更危險的是，攻擊者將這些先進的策略與社會工程策略結合。最近觀察到的一個活動使用檔案刪除提醒作為誘餌。受害者收到一封電子郵件，其中似乎連結到合法文件託管平台 files.fm 計劃刪除的 PDF。點擊該連結確實會將他們帶到真正的託管服務，在那裡他們可以存取看起來像 PDF 文件的內容。

問題在於：使用者有兩個選項－預覽或下載。預覽會開啟一個虛假的 Microsoft 登入頁面，旨在取得憑證，而下載會觸發安裝偽裝成 Microsoft OneDrive 的可執行檔。該程式實際上是 ScreenConnect，是 ConnectWise 推出的合法遠端桌面工具，經常被威脅行為者濫用以進行未經授權的存取。

據 Cofense 稱，攻擊是經過精心設計的，目的是操縱用戶行為。受害者被迫在兩個同樣危險的選項之間做出選擇，每個選項都會以不同的方式導致他們的系統受到損害。這種雙管齊下的設定確保威脅行為者實現其目標，無論是憑證盜竊還是惡意軟體部署。

網路釣魚與遠端存取和語音釣魚策略相結合

另一個令人震驚的進展是，網路安全研究人員發現了一場多階段攻擊活動，其中融合了網路釣魚、電話詐騙（語音網路釣魚）、遠端存取工具和「離地詐騙」技術。此次複雜的行動與威脅行為者團體 Storm-1811（也稱為 STAC5777）一致。

攻擊始於包含惡意 PowerShell 負載的 Microsoft Teams 訊息。一旦獲得初始存取權限，攻擊者就會使用 Microsoft 的快速輔助功能來遠端控制系統。從那裡，他們安裝 TeamViewer 等合法軟體以及側載惡意 DLL，最後使用 Node.js 部署基於 JavaScript 的命令和控制後門。

這些事件凸顯了當今網路釣魚威脅日益複雜且富有創造力。透過結合技術複雜性和心理操縱的策略，攻擊者成功繞過傳統防禦並欺騙甚至謹慎的用戶。

最好的防禦仍然是保持警覺。組織必須隨時了解這些新出現的威脅，用戶在點擊連結、輸入憑證或下載文件之前需要三思而後行——無論它們看起來多麼合法。