更多全球网络安全资讯尽在邑安全
钓鱼攻击升级"精准验证"模式:仅向锁定目标展示伪造登录页面
网络安全公司Cofense最新报告揭示,黑客正采用名为"精准验证钓鱼"(Precision-Validated Phishing)的新型规避技术。与传统广撒网式攻击不同,该技术会实时验证受害者邮箱,仅当输入符合预设高价值目标名单时才展示钓鱼表单,极大提高了隐蔽性。
攻击机制:双重验证筛除非目标
-
实时邮箱验证
-
通过钓鱼工具包内置的第三方邮箱验证API,在受害者输入邮箱瞬间完成真实性核验
-
或使用自定义JavaScript向攻击者服务器发送查询,比对预先收集的目标邮箱库
-
动态响应策略
输入情况 系统响应 非目标邮箱 跳转至维基百科等无害页面 安全研究人员测试邮箱 显示"无效账户"错误 验证通过的高价值邮箱 加载伪造登录表单 -
二次验证升级(部分高级攻击)
-
要求受害者输入其收件箱中的验证码
-
彻底阻断安全分析人员模拟攻击的可能
无效目标的虚假错误
防御困境:传统检测手段失效
-
爬虫与沙箱检测率下降:自动化安全扫描因无法提供有效目标邮箱,无法捕获完整钓鱼内容
-
人工分析受阻:研究人员使用测试邮箱时仅能看到无害页面,难以追踪攻击基础设施
-
据Cofense统计,采用该技术的钓鱼活动存活周期延长300%
查询 base64 URL 以获取有效地址
应对策略:转向行为指纹分析
安全专家建议采取以下措施:
-
企业防护升级
-
部署具备动态行为分析能力的邮件安全解决方案(如Darktrace)
-
对关键岗位实施硬件安全密钥等强认证措施
-
威胁情报革新
-
建立共享数据库记录攻击者使用的第三方验证服务API
-
监控网页JS脚本中异常的实时校验逻辑
-
用户教育重点
-
警惕登录页面突然出现的邮箱验证步骤
-
发现异常立即检查浏览器地址栏SSL证书详情
Cofense警告称,这种"手术刀式"钓鱼技术正在勒索软件团伙和国家级APT组织中快速扩散。随着攻击者精准度提升,2024年全球钓鱼攻击平均收益率预计将增长47%,迫使安全行业加速从规则检测向AI驱动的行为分析转型。
原文来自: www.bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/phishing-kits-now-vet-victims-in-real-time-before-stealing-credentials/
原文始发于微信公众号(邑安全):钓鱼工具包升级:窃密前先对受害者进行实时审查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论