威脅案例洞察
評分說明
正值歲末年終之際,各公司行號皆忙於進行年度績效考核,因考核結果通常攸關員工獎金,因此員工會十分重視與此相關的電子郵件通知,而網路犯罪者也正是看準這一點,藉機發動與之相關的社交工程郵件攻擊。
上圖為近日由 Cellopoint 郵件安全防護機制所截獲,主旨為「Employee Performance Report -December 2023」(中譯:員工績效報告 – 2023 年 12 月) 的釣魚郵件。這封郵件明顯為典型的社交工程 (Social Engineering) 釣魚郵件,企圖利用帶威脅及急迫性的用語以及收件人關切該議題的心理,誘使其點擊釣魚連結,當收件人點擊連結後,便會導向一個經過精心設計、用以竊取機敏資料的惡意網站。
進一步分析這封郵件的內容與原始碼,可列出異常點如下:
陌生的寄件來源:寄件地址為「info@grupoprobe.cc」,寄件人雖顯示為「HR Department」(人力資源部),但若該信來自公司內部,寄件網域應為收件人所屬公司的官方網域 (cellopoint.com),而非陌生網域。當收件人開啟郵件看到這一點時就應馬上提高警覺,更仔細的驗證此郵件的真偽。
偽造的績效報告連結:雖然郵件內容中的連結看似來自收件人公司內部 (網址中帶有公司網域cellopoint.com),但如果將滑鼠游標懸停在連結上即可發現真實連結其實是一個陌生的網址 (如下圖所示)。
語氣緊迫的郵件內容:基於前述兩項異常點,再加上郵件內容使用帶威脅且具急迫性的用語,最後更附帶說明「姓名被標示為紅色的員工將被解雇」,企圖利用收件人會十分關心自己是否被列於解雇名單中的心理,引誘其點擊連結。
連結帶有收件人的電子郵件地址:跳轉前跟跳轉後的連結中都帶有收件人的電子郵件地址 (跳轉前的郵件地址經過編碼),且不論是跳轉前或跳轉後的連結,都非來自收件人所屬公司的官方網域,而是未知網域,這些都是相當可疑的點。
跳轉前連結:
http://uwogmfvuwflbietkovkm.allando-nominees.ng/?userid=dG9tLmxlZUBjZWxsb3BvaW50LmNvbQ==
其中「dG9tLmxlZUBjZWxsb3BvaW50LmNvbQ==」經解碼後為:「tom.lee@cellopoint.com」。
跳轉後連結:
https://pub-3314a13846504f938cc07df734680df3.r2.dev/0Mghsy23io.html#tom.lee@cellopoint.com
若點擊連結會先顯示帶有所屬公司 logo 的載入中畫面 (如下圖所示)。
之後再跳轉至目標釣魚網頁,跳轉後的網頁會跳出登入視窗,其中帶有收件人所屬公司的 logo,並會自動帶入收件人的郵件地址,意圖增加可信度,誘使收件人輸入與其電子郵件帳戶相對應的密碼,以騙取登入資訊。
如測試將 URL 路徑中的網域替換成其它知名企業的網域,網頁也會自動帶入該企業的 logo (如下圖所示),由此可知 Phisher 將網頁設計成會自動抓取收件人郵件網域的公司 logo 並帶入網頁中。
試圖以合法掩蓋非法:雖然此郵件的 DMARC 及 SPF 驗證都通過,但事實上這只是利用合法網域來發送偽冒郵件、一種企圖使用合法掩蓋非法的手段 (如下圖所示)。
Cellopoint 寄內郵件安全五層縱深防禦方案的 Anti-spam 模組會偵測此類型的郵件 pattern,同時也會搭配 IP 偵測、來源信譽評分等機制作綜合評估。此郵件的寄件來源為陌生 IP,且信件中包含未知 URL,並被 Anti-spam 模組判定為釣魚郵件,故經評估後此郵件被系統判定為高風險並予以攔截。
社交工程演練可有效強化員工的電子郵件安全意識,Cellopoint 提供社交工程演練的解決方案,包含實戰演練、事後分析以及教育訓練的配套內容。透過經常演練與宣導,除可提升員工的郵件安全意識,使其提高警覺,亦能培養其審慎思考與檢查的習慣,如此便可大幅降低風險。如欲瞭解更多細節,請點此與我們聯繫。