Lowe’s 员工通过赞助 Google 广告被网络钓鱼以获取他们的证书。
上个月中旬,Malwarebytes 的高级研究总监 Jérôme Segura 发现了一小群恶意网站,这些网站模仿 MyLowesLife,MyLowesLife 是一家市值超过 100 亿美元的公司的员工门户,用于日程安排、工资单等所有内容。拼写错误域名模仿了真实 MyLowesLife 的确切结构,并在 Google 搜索中得到了积极的赞助。在一个案例中,当研究人员搜索“myloweslife”时,排名前三的结果是与恶意活动相关的搜索广告。
关注这些链接的 Lowe’s 员工几乎没有理由对他们的发现持怀疑态度。最终的登录页面模仿了真实的 Lowe’s 员工门户,其中包含供用户提交销售(帐户)编号和密码的字段。然后,那些点击“登录”的人会被要求回答他们的“回答您[原文如此]安全问题”。然后,所有三项数据都将被转发到攻击者控制的网络钓鱼工具包。
“被盗的凭据使威胁行为者能够访问可用于身份盗窃的非常有价值的信息,”Segura 警告说。“受影响的 Lowe’s 员工可能会被骗并遭受金钱损失。在一次成功的运行中,数十个员工账户可能会转化为与其福利或银行详细信息相关的盗窃。
值得注意的是,这些山寨网站的主要主页 — myloveslife[.]网,mylifelowes[.]org, mylifelowes[.]net 和 myliveloves[.]net — 由完全通用的、显然是 AI 生成的零售网站模板填充,与 Lowe’s 没有任何关系。正如 Segura 解释的那样,这完全是战略性的。除了为威胁行为者节省时间和精力外,拥有一个无害的主页可能会让调查人员望而却步,并使与域名注册商一起关闭这些网站的理由更加困难。
为什么恶意广告有效
通过快速搜索通常更快、更容易地到达您正在寻找的网站,而不是在浏览器中输入完整的域。
主流搜索引擎中还内置了一个信任因素,其算法旨在将安全、可靠的结果推向任何给定搜索的顶部。赞助结果不会凭价值赢得他们的房地产,但随意的互联网冲浪者可能会不假思索地给予他们相同程度的信任。
除其他原因外,这些原因有助于解释恶意广告作为窃取凭据和用恶意软件感染目标人群的手段的普遍流行,以及为什么即使是精通技术的互联网用户也成为最近活动的受害者。例如,仅在过去几个月内,Malwarebytes 就追踪了针对 IT 人员、Arc 浏览器的技术前沿早期采用者等的不同骗局。
涉及 Lowe’s 员工的案例是独一无二的,因为与 IT 工具和新浏览器不同,向公众宣传公司内部门户在逻辑上没有意义。从理论上讲,这应该使这些虚假广告更容易被发现,无论是对于网络冲浪者和搜索提供商。
“谷歌和其他搜索引擎可以通过监控’广告商’为其购买广告空间的福利门户、单点登录 (SSO) 页面等来防止此类网络钓鱼活动。事实上,我们使用相同的技术来搜寻和查找这些恶意广告,因此我相信它可以用来在账户有机会引诱受害者之前主动禁止它们,“Segura 认为。
发表评论
您还未登录,请先登录。
登录