一场新的网络钓鱼活动出现了,它并非通过收件箱来骗取信任,而是借助 Google 广告。Push 的安全研究人员发现了一场恶意广告活动,其目标瞄准了 Onfido 的用户。Onfido 是一个在金融科技、人力资源以及受监管行业中广泛使用的数字身份验证平台。
攻击者使用了一条具有欺骗性的 Google 搜索广告,引诱受害者点击一个虚假的 Onfido 登录页面,该页面所在的域看起来十分正规:dashboard [.] onfido [.] us [.] com。
一旦用户点击,这个恶意链接会导向一个克隆的 Onfido 页面,其看起来足够可信,足以骗过受害者。不过,Push 基于浏览器的检测系统立即标记了这个网址。这个虚假的登录页面是通过 Evilginx(一种中间人网络钓鱼框架)来提供服务的,该框架会代理合法页面,以窃取会话令牌和用户凭证。
有趣的是,这个网络钓鱼页面被配置为仅在通过 Google 广告推荐访问时才会正常显示。直接访问同一个域名会将用户重定向到合法 Onfido 域名的 404 页面 —— 这是一种逃避检测的策略,目的是躲避安全爬虫的检查。
Onfido 并不像 Microsoft 或 Google 那样是典型的网络钓鱼目标。但这恰恰是关键所在。
随着围绕主要平台的网络钓鱼防御措施日益加强,攻击者正将注意力转移到那些监控较少的软件即服务(SaaS)工具上,这些工具往往缺乏诸如密钥支持或强大身份验证策略等功能。
这次攻击是恶意广告的一个典型案例 —— 利用付费搜索结果来推送恶意链接。Google 广告并不像电子邮件网关那样依赖相同的信誉和域名历史检查,这为攻击者提供了一个全新的渠道来发起网络钓鱼尝试。
所使用的虚假域名是 us [.] com—— 这并非一个合法的美国政府顶级域名,而是一个域名转售服务,它允许子域名冒充受信任的品牌。这种域名便宜且易于注册,普通用户很难将其与真正的.us 域名区分开来。
尽管 Evilginx 最初是作为红队工具被开发出来的,但如今它在现实中的网络钓鱼活动中被越来越多地使用。它的优势在于其灵活性 —— 几乎可以代理任何登录页面,且无需大量定制的 JavaScript 代码,这降低了它被安全工具检测到的可能性。
即便你的电子邮件没有问题,你的搜索栏也可能是最薄弱的环节。正如 Push 所说:“像恶意广告这种绕过电子邮件的网络钓鱼攻击非常有吸引力”,因为它们完全避开了防御措施。
发表评论
您还未登录,请先登录。
登录