威脅案例洞察
評分說明
近年來,網路攻擊者 (Cyber attackers) 可說是致力於精進其竊取個人與機密資訊的攻擊手法,Cellopoint 郵件安全防護機制近日截獲一種新型的電子郵件釣魚活動,稱為 Voicemail Phishing Attack (語音郵件釣魚攻擊),本文將介紹語音郵件釣魚攻擊手法以及剖析此次由 Cellopoint 郵件安全防護機制所截獲的這封惡意郵件。
偽裝成語音訊息通知的釣魚郵件
Voicemail Phishing Attack (語音郵件釣魚攻擊) 意指偽裝成語音訊息通知的釣魚郵件攻擊,其目的為利用偽造的語音訊息通知,誘使收件人點擊郵件中的按鈕或連結,連至網路攻擊者精心設計、用以紀錄收件人所輸入個人資料的釣魚網頁。
以本文要分析的這封郵件為例,當收件人點擊按鈕連至釣魚網頁後,會被要求輸入與其電子郵件帳號對應的密碼來登入以收聽語音訊息,如收件人依照指示輸入與其電子郵件帳號對應的密碼,他們的電子郵件帳號就會被網路犯罪者成功盜取。
一封精心設計的語音訊息釣魚郵件
上方圖片為 Cellopoint 郵件安全防護機制近日截獲的語音訊息釣魚郵件,乍看之下這是一封再普通不過了的語音訊息郵件通知,郵件內文亦提供語音訊息的一些相關細節,收件人很容易不疑有他的就直接點擊郵件中的「Play Voice Message」按鈕。
但其實從郵件的基本資訊看便可馬上發現端倪,首先是這封郵件的寄件人欄位,其寄件來源為陌生地址,寄件人為「webmailhost8545njm-networksolutionsemail.noreply@humanresource-department.info」,一般使用者通常不會使用這麼長且英數字參雜的郵件帳號,再者,其寄件網域也是無意義且看不出寄件來源的名稱。
接著觀察這封郵件的郵件主旨「New-Voוcemail from WוRELESS CALLER on Friday, December 1, 2023 - 9:46:52 AM」,可發現主旨的文字構成其實並不尋常,有混雜特殊字元以及大小寫不一致的情況,試圖躲避郵件安全防護機制的惡意郵件關鍵字偵測。
當收件人點擊郵件中的「Play Voice Message」按鈕後所導向的網頁,會先顯示「Authenticating…」(認證中) 的動態圖示 (如下圖所示),然後再重導至經過精心設計的釣魚網頁。
再來剖析此網頁的設計手法,其係在 HTML Body 中,從外部來源抓取認證中的圖示顯示,經過 3 秒後,再利用 HTML Refresh 機制重導至目標釣魚網頁。
而這個目標釣魚網頁的佈局也十分精細,該網站使用由 Let's Encrypt 核發的合法憑證,並且其網站名稱為 dweb.link (如下圖所示) 。
攻擊者想透過使用合法憑證的方式,讓收件人在連至釣魚網頁後,不會出現安全性警告訊息,使其看起來像是一個合法、可信任的網頁。但仔細思考後就會發現,雖然這個網頁使用的是合法憑證,且看似來自合法的網域,事實上那根本不是收件人所屬的組織網域,這就是一種企圖用合法掩蓋非法的手段。
這封釣魚郵件還有一個設計很巧妙的地方就是釣魚網頁的畫面會直接帶入收件人所屬組織的 logo,讓收件人誤以為這封郵件確實來自自己所屬的組織。並且網頁中會直接帶入收件人的郵件帳號,以及要求輸入對應其郵件帳號的密碼欄位,故意誘導收件人順勢輸入與郵件帳號對應的帳戶密碼。
由上圖可進一步觀察到釣魚網頁連結中的 URL 路徑自動帶入了收件人的郵件地址,我們更發現 Phisher 將網頁設計成會自動抓取收件人郵件網域的組織 logo 並帶入網頁的登入視窗中,意欲增加可信度以騙取收件人的郵件帳戶密碼。而當我們試圖將 URL 路徑中的網域改成其它知名企業時,網頁也會自動帶入該企業的 logo (如下圖所示) ,因此這是一場經過巧妙策劃的騙局,不論郵件發送給哪個組織內的郵件帳號,此釣魚網頁都可自動帶入目標對象的組織 logo。
Cellopoint 郵件安全防護系統精心守護您的郵件安全
然而即使面對如此精密巧妙的釣魚郵件,我們也並非無計可施。首先,若有購買 Cellopoint 郵件安全防護系統,其中的 Anti-spam 模組會偵測此類型的郵件 pattern,同時也會搭配 IP 偵測、來源信譽評分等機制作綜合評估。因此郵件的寄件來源為陌生 IP,且信件中包含未知 URL,並被 Anti-spam 模組判定為釣魚郵件,故此郵件被系統判定為高風險並予以攔截。
其次,由於這封郵件並非大量發送,可推測 Phisher 的目標為竊取組織中特定對象的郵件帳戶密碼以進行進一步的非法行為。在最新版本的 Cellopoint 郵件安全防護系統中,我們增加了一項關鍵性的報表功能,即「HAP 排行報表」。HAP 為 Highly Attacked Person,意即最常被攻擊的人員。網路攻擊者通常會針對企業或組織中的特定人員進行攻擊,這些易受攻擊的人員可能會因他們在組織中的部門、職權、可獲取的企業資源等因素而成為攻擊者的目標。系統管理員可在 HAP 排行報表頁面檢視最常被攻擊的帳號排行資訊。透過檢視 HAP 排行報表,可識別組織內最常成為攻擊目標的帳號 (人員),進而擬定加強安全防禦的相關措施,例如強化收件人的網路安全意識、限制權限以及增加控管強度等。
最後,身處於這個充斥著惡意郵件的環境中,收件人應時刻保持警覺以防掉入陷阱。如若收件人先前從未使用相關服務,應將這封郵件視為潛在的詐騙,不予理會。即便是有使用該服務的收件人,也應謹慎以對。收到郵件時先查看寄件人資訊以及郵件主旨等是否有異常之處,避免被郵件的偽冒資訊所欺騙。建議使用官方管道驗證郵件內容的真實性,例如直接登入官方平台或連繫客服以確認是否真的有新語音訊息。總而言之,時刻保持警覺心,避免開啟或點擊任何看似不尋常的郵件附件或連結,才是保護自身資訊安全的不二法門。