一种被称为 “精准验证式凭据窃取” 的复杂网络钓鱼方法已经出现,攻击者能够利用这种方法瞄准高价值账户,同时规避传统的安全防护措施。
Cofense Intelligence 的研究人员观察发现,这种策略利用实时电子邮件验证功能,确保只有经过验证且处于活跃状态的电子邮件地址才会收到恶意登录页面,这提高了攻击者的成功率,也让防御者更难做出应对。
与大规模网络钓鱼活动不同,这种技术会有选择地针对那些电子邮件地址与预先收集的列表相匹配的用户。
当受害者在网络钓鱼页面上输入电子邮件地址时,系统会将其与攻击者控制的数据库进行比对。如果该地址有效,用户就会继续输入凭据;否则,页面将返回错误信息,或者重定向到一个良性网站。
这种验证通常由基于 JavaScript 的脚本或 API 集成来实现,能够实时验证电子邮件的真实性。例如,在最近的网络钓鱼活动中,攻击者使用了 Base64 编码的 URL 来存储预先验证过的电子邮件列表,脚本会对这些编码进行解码以筛选目标。
最近的一些案例显示,攻击者将验证脚本嵌入到了网络钓鱼工具包中。在一次攻击活动中,攻击者通过将无效电子邮件重定向到Wikipedia 等合法网站,来掩盖恶意意图,目标是企业用户。
这个过程涉及两种核心方法:
1.基于 API 的验证服务:攻击者利用合法的电子邮件验证 API 来即时确认电子邮件地址的有效性。
2.基于 JavaScript 的验证:恶意页面使用隐藏脚本向攻击者的服务器发送请求,在提示用户输入密码之前先验证电子邮件地址。
这种方法确保了网络钓鱼基础设施不会被自动爬虫程序和沙盒环境检测到,因为恶意内容只会对被选中的目标用户显示。
传统的防御措施依赖于提交测试凭据来分析网络钓鱼页面。然而,在精准验证式的网络钓鱼活动中,不匹配的电子邮件地址会被拒绝,这使得这种策略失效。
即使分析师使用有效的电子邮件地址,攻击者也常常会将验证码发送到受害者的收件箱中,这进一步阻碍了调查工作。此外,对于大多数用户来说看似无害的网络钓鱼页面能够逃避 URL 扫描器的检测,削弱了基于黑名单的防护措施。
这些攻击的选择性特点也给威胁情报共享带来了困难,因为恶意内容并非对所有人都可见。
因此,各组织现在必须优先考虑行为分析和异常检测,以便在网络钓鱼活动部署之前就采取预防措施。
发表评论
您还未登录,请先登录。
登录