辉瑞公司(Pfizer)因生产mRNA新冠疫苗而成为网络钓鱼攻击者的热门假冒对象。近日,根据 INKY 的一份最新报告,2021年8月15日左右开始的一个网络钓鱼电子邮件活动冒充了辉瑞公司,试图从受害者那里窃取商业和财务信息。
此钓鱼活动背后的参与者在网络钓鱼活动中非常“勤奋”,他们将“干净”的 PDF 附件与新注册的冒牌辉瑞域名结合起来(这些新注册的域名网址看上去非常像辉瑞的官方站点)。攻击者使用的仿冒域名为:pfizer-nl[.]com、pfizer-bv[.]org、pfizerhtlinc[.]xyz、pfizertenders[.]xyz,这些仿冒域名是通过 Namecheap 注册的,Namecheap 接受加密货币作为支付方式,允许购买者保持匿名。
攻击者利用仿冒域名生成的电子邮件帐户,发送钓鱼电子邮件,以绕过企业常见的电子邮件保护解决方案。这些钓鱼邮件的主题通常涉及紧急报价、招标和工业设备供应等,如图1所示。在 INKY 分析师看到的 400 个钓鱼邮件的大多数样本中,攻击者都使用具有专业外观的3页 PDF 文档讨论到期日、付款条件和与合法报价请求相关的其他详细信息。
图1:网络钓鱼电子邮件样本(来源:INKY)
该 PDF 文档不包含会被电子邮件安全工具检测并标记的恶意软件投放链接或网络钓鱼网址,甚至没有钓鱼邮件常见的错别字问题。但是,收件人需要将他们的报价发送到假冒的辉瑞域名邮件地址,例如quote@pfizerbvl[.]com或quote @pfizersupplychain[.]com之类。
虽然该钓鱼活动的确切目标尚不清楚,但 PDF 文档包含付款条款这一事实表明,攻击者很可能将在某个时候要求收件人进一步分享他们的银行详细信息。如果收件人提供了支付信息,攻击者可能会在未来针对目标用户的其他 BEC 活动中使用它。
此外,由于攻击者在第一次接触时不要求提供个人详细信息,这会大大降低收件人的警惕性。回复这些钓鱼电子邮件只会将受害者推入更深的骗局,因为他们以为自己有希望与一家著名公司达成一项有利可图的交易。
安全专家指出,当收到此类包含异常投标请求的电子邮件时,应当拨打对方公司的常规电话号码,与相关联系人通话核实,以确保安全。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
