犯罪分子通過偽造卡巴斯基的電子郵件地址進(jìn)行魚叉式攻擊來竊取Office 365憑證。

　　該安全公司在周一發(fā)布的一份公告中說，盡管釣魚郵件是來自noreply@sm.kaspersky.com 等發(fā)件人的地址，但卡巴斯基確定沒有人發(fā)送過這些釣魚郵件。相反，這些郵件是用卡巴斯基合法的亞馬遜簡易電子郵件服務(wù)（SES）令牌發(fā)送的。

　　亞馬遜SES是一種可擴(kuò)展的電子郵件服務(wù)，它允許開發(fā)者在營銷或大規(guī)模電子郵件通信等任何應(yīng)用場景發(fā)送郵件。

　　根據(jù)卡巴斯基的解釋，這個訪問令牌是在測試網(wǎng)站2050.earth時分發(fā)給第三方承包商的。2050.earth網(wǎng)站是卡巴斯基的一個項(xiàng)目，它有一個互動地圖，未來學(xué)家和其他人可以使用該地圖推測未來幾十年地球會發(fā)生什么。并且該網(wǎng)站托管在亞馬遜的基礎(chǔ)設(shè)施上。

　　卡巴斯基說，在發(fā)現(xiàn)它所說的Office 365憑證魚叉式攻擊頻率大幅上升后，這些攻擊很可能是來自多個威脅攻擊者，之后安全人員對SES令牌立即進(jìn)行了撤銷。

　　根據(jù)官方發(fā)布的內(nèi)容，這次釣魚攻擊沒有造成任何損失，在2050.earth和相關(guān)服務(wù)中沒有發(fā)現(xiàn)服務(wù)器被破壞、未經(jīng)授權(quán)的數(shù)據(jù)庫訪問或任何其他惡意活動。

　　攻擊誘餌：虛假的傳真

　　釣魚網(wǎng)站是網(wǎng)絡(luò)犯罪分子通過精心設(shè)計(jì)電子郵件來欺騙人們，并且讓他們交出在線賬戶的憑據(jù)的一種常見方式。釣魚攻擊者有時會通過冒充受信任的公司（如卡巴斯基）、應(yīng)用程序或其他機(jī)構(gòu)來欺騙人們，將受害者引導(dǎo)到專門制作的釣魚網(wǎng)站內(nèi)，欺騙他們輸入憑據(jù)，讓他們以為這是個合法的網(wǎng)站。

　　Office 365憑證是網(wǎng)絡(luò)釣魚攻擊的一個很常見的攻擊目標(biāo)。例如，今年3月，研究人員就發(fā)現(xiàn)了一個專門針對保險(xiǎn)和金融服務(wù)行業(yè)高管進(jìn)行攻擊的網(wǎng)絡(luò)釣魚騙局，其目的是獲取他們的微軟365憑證并發(fā)起商業(yè)電子郵件泄露（BEC）攻擊。

　　這個以卡巴斯基為主題進(jìn)行釣魚攻擊的網(wǎng)絡(luò)犯罪分子并沒有冒充卡巴斯基的員工。相反，這些釣魚郵件通常都聲稱是 “傳真通知”，通過引誘目標(biāo)進(jìn)入虛假的網(wǎng)站，然后獲取微軟在線服務(wù)的憑證。這早已經(jīng)不是第一次使用 “傳真通知 ”這種古老的詐騙術(shù)語了。2020年12月，Office 365的證書也受到了相同攻擊方式的攻擊。

　　卡巴斯基的釣魚郵件是從各種虛假的卡巴斯基網(wǎng)址發(fā)出的，它們來自多個網(wǎng)站，包括亞馬遜的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施。

　　卡巴斯基提供了下面的釣魚郵件樣本。

　　分析顯示，這些網(wǎng)絡(luò)釣魚活動使用的是一個被卡巴斯基研究人員稱為 “Iamtheboss ”的網(wǎng)絡(luò)釣魚工具包，還有另一個被稱為 “MIRCBOOT ”的網(wǎng)絡(luò)釣魚工具包。

　　釣魚平臺BulletProofLink提供的MIRCBOOT服務(wù)

　　MIRCBOOT這個名字可能聽起來很熟悉，可能因?yàn)樗俏④涀罱l(fā)現(xiàn)的網(wǎng)絡(luò)釣魚工具包之一，當(dāng)時微軟就發(fā)現(xiàn)了一個大規(guī)模的、很有組織性的、復(fù)雜的網(wǎng)絡(luò)釣魚（PhaaS）攻擊平臺，犯罪分子稱之為BulletProofLink。

　　BulletProofLink是一個秘鑰竊取平臺，該平臺提供了釣魚工具包、電子郵件模板和其他黑客工具，讓用戶定制攻擊活動并開發(fā)自己的工具。然后他們利用PhaaS平臺提供的釣魚工具包、電子郵件模板和攻擊所需的托管服務(wù)進(jìn)行攻擊。

　　MIRCBOOT和BulletProofLink上提供的其他網(wǎng)絡(luò)釣魚工具包允許網(wǎng)絡(luò)犯罪分子建立網(wǎng)站并購買他們所需的域名來發(fā)起網(wǎng)絡(luò)釣魚攻擊活動，例如假裝成一家安全公司的員工，就像本案中一樣。