自动网络钓鱼

Telegram 机器人出售对网络钓鱼工具的订阅，以入侵 Microsoft 365 帐户，包括 2FA 绕过。

研究人员发现了一个名为 ONNX Store 的网络钓鱼市场，该市场使网络犯罪分子可以使用劫持 Microsoft 365 帐户的工具，包括绕过双因素身份验证 （2FA） 的方法。这使威胁行为者能够对 Microsoft 365 和 Office 365 电子邮件帐户发起网络钓鱼攻击。企业信息安全团队应意识到这种威胁，并采取反网络钓鱼保护措施。让我们仔细看看其中的危险......

研究人员的报告描述了使用 ONNX Store 网络钓鱼工具的攻击，该工具针对多家金融机构的员工。首先，受害者似乎从他们的人力资源部门收到关于薪酬主题的电子邮件作为诱饵。

这些电子邮件包含PDF附件，其中包含要扫描的QR码，以便访问包含有关收件人工资的“重要信息”的“安全文档”。这里的想法是让受害者不是在工作计算机上打开链接——这很可能具有反网络钓鱼保护，而是在个人智能手机上——这很可能不是。

该链接将打开一个模仿 Microsoft 365 登录页面的网络钓鱼站点。在这里，受害者被要求输入他们的用户名和密码，然后输入一次性的 2FA 代码。

伪造的 Microsoft 登录页面提示受害者输入他们的凭据和一次性 2FA 代码。源bleepingcomputer

当然，所有这些信息都会直接传递给攻击者。一次性 2FA 代码的使用寿命通常很短——通常只有 30 秒。因此，为了加快信息的传递，网络钓鱼工具包使用 WebSocket 协议，该协议提供实时通信。

凭借被盗的凭据和仍然有效的代码，攻击者立即登录该帐户并获得对受害者通信的完全访问权限。然后，可以利用此访问权限进行商业电子邮件泄露 （BEC） 和其他攻击。

这种网络钓鱼操作的中心是 Telegram 即时通讯工具。ONNX Store 充分拥抱自动化——与用户的所有互动都是通过 Telegram 机器人进行的。

它的创建者以订阅为基础提供网络钓鱼服务。价格相当低：例如，如果没有 2FA 绕过，收集 Microsoft 365 帐户密码的月度订阅将花费潜在攻击者 200 美元——400 美元。

即使是小型网络犯罪分子也能负担得起。对于这笔适度的投资，他们可以使用一套经过微调的网络钓鱼工具。他们所要做的就是选择一个可攻击的目标并制定货币化方案。

正是低门槛使得网络钓鱼即服务模式成为一种威胁：拥有危险工具的网络犯罪分子圈子变得更加广泛。因此，我们强烈建议您采取先发制人的措施，防止针对您的组织的高级网络钓鱼攻击。以下是我们的建议：

• 考虑使用 FIDO U2F 硬件令牌（也称为 YubiKeys）或密钥进行 2FA。这些工具甚至可以否定最复杂的隐蔽网络钓鱼攻击。

• 在所有公司设备（包括智能手机和平板电脑）上部署具有反网络钓鱼保护的可靠安全解决方案。

• 定期进行安全意识培训，培训员工识别和处理可疑电子邮件。我们的交互式卡巴斯基自动化安全感知平台可为您提供所需的一切以及更多内容。