大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
随着网络攻击手段日益复杂,一场名为“Pawn Storm”的网络攻击行动再次引发全球安全界关注。这场行动主要针对企业Outlook Web Access (OWA) 用户,采用一种令人防不胜防的钓鱼攻击手法。这种攻击不需要复杂的漏洞利用,仅凭一段简单的JavaScript代码便可让用户在毫无察觉中暴露自己的敏感信息。
攻击方式解析:简单但高效的钓鱼手段
Pawn Storm行动的黑客们利用了“错别字域名”(typosquatting)和浏览器行为特点,打造了一场针对性的钓鱼攻击:
1. 伪造的域名:
- 黑客注册了与目标域名极其相似的伪造域名,例如:
- tolonevvs[.]com(模仿真实新闻网站tolonews.com)
- academl[.]com(模仿目标企业Academi的官网academi.com)
2. 攻击流程:
- 黑客向目标企业员工发送伪造邮件,其中包含指向伪造域名的链接。
- 当用户通过Microsoft OWA预览窗格查看邮件并点击链接时,浏览器会打开一个新标签页,加载真实的新闻网站tolonews.com。
- 与此同时,一段隐藏在伪造域名中的JavaScript代码会将用户原先的OWA登录页面替换为伪造的钓鱼页面。
3. 用户行为被利用:
- 当用户切换回原先的OWA标签页时,会看到一个伪装成“超时登录”的钓鱼页面。
- 用户再次输入凭据时,这些信息便会被黑客截获。
更广泛的威胁:不止于OWA
尽管此攻击最初被用于针对OWA用户的网络钓鱼,但实际上任何基于Web的邮件服务都可能遭受类似攻击,包括Gmail、Yahoo等:
- Gmail用户在Safari中查看邮件时可能成为受害者。
- Yahoo邮件用户在Safari或Firefox中同样面临风险。
即使启用了双因素身份验证,攻击者依然可能在用户首次输入凭据后成功下载整个邮箱内容。
如何保护自己? 🛡️
针对这类攻击,以下防护措施值得重视:
1. 关闭OWA的邮件预览窗格:
这种钓鱼攻击依赖预览窗格加载的JavaScript代码,关闭预览功能可以有效防御。
2. 仔细检查登录页面:
在输入账号密码前,务必确认域名的准确性,避免被“错别字域名”迷惑。
3. 启用双因素验证:
尽管无法完全杜绝风险,但可以减少攻击成功后的影响。
4. 培训员工安全意识:
企业需定期开展网络安全培训,帮助员工识别钓鱼邮件和伪造网站。
结语:网络世界中的无形战斗 🌍⚔️
Pawn Storm的攻击手段再次提醒我们,网络安全不仅关乎技术防御,更关乎每一个用户的安全意识。在这个数字化迅速发展的时代,保持警惕、提高安全意识是抵御攻击的第一道防线。
👉 你是否曾遇到类似的网络钓鱼攻击?如何应对?欢迎在评论区分享你的经验和看法! 🗨️
关注我们,了解更多网络安全动态,保护你的数字资产! 🔐
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):俄罗斯APT组织Pawn Storm的钓鱼攻击手法曝光!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论