2023 年7 月第2 周
样本概览
类型1:虚假ID 网络钓鱼电子邮件
为了提高网络钓鱼电子邮件的成功率,网络钓鱼电子邮件攻击者经常对网络钓鱼电子邮件进行“打包”,使其与普通电子邮件非常相似。
如图所示:
上面的示例内容都是通过LinkedIn发送的虚假商业电子邮件,主要信息是收件人对产品感兴趣,想询问定价或订购试用。
尽管电子邮件内容包含大量与LinkedIn相关的商标和相关信息,但请注意,此类电子邮件实际上是收件人精心设计的“陷阱”。单击电子邮件中的链接将带您进入下一个网络钓鱼界面。
该界面以LinkedIn用户界面为背景,在左上角显示“邮箱登录已超时,请重新登录”的提示,以收集用户的账号和密码信息。
Sky Guard 的启发式规则库根据链接、文本特征、发送地址、路由信息和电子邮件的其他方面检查这些类型的虚假ID 电子邮件。已经编写了比较完整的检测规则来识别和检测此类特征。并拦截。
类型2:滥用字形连接器组合
本周,我们收到了一封网络钓鱼电子邮件的反馈,该电子邮件扫描了主题为“关于员工和薪资调整”的二维码。用肉眼可以看到的是:
启发式规则库已经包含与此类电子邮件相关的拦截策略。在调查邮件为何丢失的过程中,发现肉眼可见的内容不完整。显示文本的Unicode后发现问题。
首先,如果正常输入“财务部”三个字,显示的Unicode为:\\u8D22\\u52A1\\u90E8
但是,当我复制电子邮件发件人时,显示的Unicode 为: \\u8D22\\u034F\\u52A1\\u034F \\u90E8\\u034F
\\u034F 是一个组合字形连接器,它是Unicode 中的组合加法符号。它不像零宽度字符那样肉眼可见,但它确实存在。添加此类字符可能会绕过某些文本特征的检测。
启发式规则库当前包含此类绕过方法的规则。
注意:这种绕过方法不仅可以用于绕过关键字,还可以用于其他领域,例如生成缩短的URL。如下所示:
将网易云链接转换为“https://zws.im//”。事实上,这个短URL 后面跟着一个零宽度字符串。当浏览器访问时,后端程序解码下一个零宽度字符。跳转到对应的URL。
防护建议
尖端
警惕需要输入账号和密码的场景,尤其是跳转链接。
不要点击来源不明的缩短网址。
与本文相关的一些示例IOC
网址
https[:][/][/]www.skacassam.in/notice/cgi/include/linkedins.com/en-index.php#xxx@xxx.cn
https[:][/][/]wrk.linserv.inostudio.net/china/newcodingLinkedin/index.html#xxx@xxx.cn
https[:][/][/]www.intosaicommunity.net/images/copuser_img/new/a/linkedins.cn/#xxx@xxx.cn
贡献团队:
Skyguard 安全响应中心电子邮件安全团队
本文和图片来自网络,不代表火豚游戏立场,如若侵权请联系我们删除:https://www.huotun.com/game/642398.html