俄罗斯APT组织Pawn Storm的钓鱼攻击手法曝光！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

随着网络攻击手段日益复杂，一场名为“Pawn Storm”的网络攻击行动再次引发全球安全界关注。这场行动主要针对企业Outlook Web Access (OWA) 用户，采用一种令人防不胜防的钓鱼攻击手法。这种攻击不需要复杂的漏洞利用，仅凭一段简单的JavaScript代码便可让用户在毫无察觉中暴露自己的敏感信息。

攻击方式解析：简单但高效的钓鱼手段

Pawn Storm行动的黑客们利用了“错别字域名”（typosquatting）和浏览器行为特点，打造了一场针对性的钓鱼攻击：

1. 伪造的域名：

  - 黑客注册了与目标域名极其相似的伪造域名，例如：

    - tolonevvs[.]com（模仿真实新闻网站tolonews.com）

    - academl[.]com（模仿目标企业Academi的官网academi.com）

2. 攻击流程：

  - 黑客向目标企业员工发送伪造邮件，其中包含指向伪造域名的链接。

  - 当用户通过Microsoft OWA预览窗格查看邮件并点击链接时，浏览器会打开一个新标签页，加载真实的新闻网站tolonews.com。

  - 与此同时，一段隐藏在伪造域名中的JavaScript代码会将用户原先的OWA登录页面替换为伪造的钓鱼页面。

3. 用户行为被利用：

  - 当用户切换回原先的OWA标签页时，会看到一个伪装成“超时登录”的钓鱼页面。

  - 用户再次输入凭据时，这些信息便会被黑客截获。

更广泛的威胁：不止于OWA

尽管此攻击最初被用于针对OWA用户的网络钓鱼，但实际上任何基于Web的邮件服务都可能遭受类似攻击，包括Gmail、Yahoo等：

- Gmail用户在Safari中查看邮件时可能成为受害者。

- Yahoo邮件用户在Safari或Firefox中同样面临风险。

即使启用了双因素身份验证，攻击者依然可能在用户首次输入凭据后成功下载整个邮箱内容。

如何保护自己？ 🛡️

针对这类攻击，以下防护措施值得重视：  

1. 关闭OWA的邮件预览窗格：  

  这种钓鱼攻击依赖预览窗格加载的JavaScript代码，关闭预览功能可以有效防御。

2. 仔细检查登录页面：  

  在输入账号密码前，务必确认域名的准确性，避免被“错别字域名”迷惑。

3. 启用双因素验证：  

  尽管无法完全杜绝风险，但可以减少攻击成功后的影响。

4. 培训员工安全意识：  

  企业需定期开展网络安全培训，帮助员工识别钓鱼邮件和伪造网站。

结语：网络世界中的无形战斗 🌍⚔️

Pawn Storm的攻击手段再次提醒我们，网络安全不仅关乎技术防御，更关乎每一个用户的安全意识。在这个数字化迅速发展的时代，保持警惕、提高安全意识是抵御攻击的第一道防线。

👉 你是否曾遇到类似的网络钓鱼攻击？如何应对？欢迎在评论区分享你的经验和看法！ 🗨️  

关注我们，了解更多网络安全动态，保护你的数字资产！ 🔐

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT组织Pawn Storm的钓鱼攻击手法曝光！