以2018年世界杯为主题的恶意邮件来袭 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

以2018年世界杯为主题的恶意邮件来袭

xiaohui 新闻 2018年5月30日发布

导语:2018年俄罗斯世界杯就要在6月14号隆重开幕了,每当这时,全球的目光都会被这个赛事所吸引,当然,其中还包括不少网络攻击者。

timg.jpg

2018年俄罗斯世界杯就要在6月14号隆重开幕了,每当这时,全球的目光都会被这个赛事所吸引,当然,其中还包括不少网络攻击者。为了蹭热度,他们已经很早就利用与2018年世界杯为主题的电子邮件来进行垃圾邮件攻击了,比如,攻击者开始在邮件中利用该主题并创建世界杯主题的钓鱼网页。

卡巴斯基实验室的统计数据显示,在比赛门票销售期间,钓鱼网页的数量增加最为迅猛。每次售票时,攻击者都会向用户发送大量垃圾邮件,当用户按着发送的邮件链接来购票时,攻击者会告诉受害者,让他们先在发送过来的国际足联的官网进行注册和登记,以获取相关的赠品。随着世界杯的临近,这类诈骗越来越猖狂,下面就是具体的示例。

发送赢取虚假彩票的通知

与世界杯有关的电子邮件欺诈的主要类型之一是垃圾邮件,攻击者会通知收件人,他们获得了由官方合作伙伴和赞助商(Visa,可口可乐,微软等)以及FIFA(国际足联)共同发布的彩票。

1.png

发送赢取虚假彩票的通知邮件

这些垃圾邮件信息包含附件(通常是PDF或DOCX文件),其内容除了对你赢取彩票进行祝贺外,还要求用户将详细的联系方式(姓名、出生日期、家庭地址、电子邮件、电话号码)回复过来,以领取相关奖品。甚至,攻击者有时还要求收件人先提前支付一部分邮资或银行转账费用。

这类垃圾邮件的主要目的是收集用户数据(包括财务信息),并尽可能同时诈骗一些小额资金(邮资或银行转账费用),虽然这些危害并没有太过恶劣,但有一些恶意行为就不能保证如此友善了,比如有些垃圾邮件中还可能包含恶意附件,例如银行木马程序。

2.png

带有附加文件的虚假垃圾邮件通知

另一种常见的垃圾邮件欺诈行为主要是关于比赛本身的,比如让用户猜测比赛的结果,如果猜测正确,就会赢得赠品或其他东西。不过前提是,受害者需要在虚假的促销页面上注册并提供电子邮件地址,并像彩票那样,向攻击者发送详细联系方式。这些消息会以FIFA的名义发送,通常来自最近注册的域名。这种攻击方案的主要方法就是不断更新受害人的电子邮件数据列表,以便发送更多的垃圾邮件。

3.png

带有机票和旅行赠品的垃圾邮件

垃圾邮件的发送

在这个重要的赛事来临之际,我们不可避免的会受到关于这个主题的很多垃圾邮件,比如足球商品的推销信息,与观赛及各种相关旅游联系的交通和住宿服务的套餐推销。这些商品通常由小型在线零售商提供,他们会出售包括标有FIFA官方标识的玩具,纪念品和文具,以及参与所有团队的足球服。甚至,有一些消息的来源直接显示的是国际足联官方商店。

4.png

提供商品的消息样本

不过,还有一些是与足球无关的垃圾邮件。例如,提供医疗产品信息的传统的垃圾邮件,它们也会利用世界杯的噱头来吸引用户的注意。在分析时,研究人员还发现了一些有趣的事情,比如,有些邮件的主题提到了2006年世界杯决赛,所以,可以推测,这个垃圾邮件发送者使用了旧的模板,并忘记更改日期。而且可以肯定的是,它们至少在2006年世界杯期间,进行过类似的攻击。

1527663835722567.png

带有2006年世界杯决赛字样的邮件

利用门票销售实施诈骗

除了销售附带商品的网上商店外,还有很多提供虚假门票和“黑票”的网站。所谓“黑票”指的是有些票贩子利用国际足联规则中的各种漏洞来出售的票,和假门票是不一样的。

6.png

黄牛在线销售的门票

然而,FIFA官方规定门票只能在国际足联官网上购买,如果发现有非法销售或转售的情况,那就会处以巨额罚款。所以,那些使用传统手段在赛场外卖票的黄牛党,将会不存在,因为直接从网上购买的门票都带有自己的个人信息,如果持票人的门票信息与入场的身份证件不符,国际足联工作人员有权拒绝其入场。

伪装成FIFA合作伙伴的虚假网站和消息来进行诈骗

窃取银行和其他帐户凭证的最常见方式之一,便是通过让用户点击虚假官网,实施钓鱼攻击。由于大型赛事的合作伙伴,经常为客户组织一定的优惠活动,比如机票馈赠,这就是攻击者利用合作伙伴诱骗用户的出发点。这样的页面看起来非常有诱惑力,如果页面再经过精心的设计,那将是很好的攻击手段。

7.png

伪装成一个合作银行的登录页面进行钓鱼攻击

8.png

打着馈赠门票的幌子,让受害者在所谓的官网上填写信息

攻击者也试图通过模仿FIFA的官方通知来盗取用户的数据,比如,受害者被告知购票的安全系统已更新,所有个人数据必须重新输入,否则账户将被锁定。如果受害者点击了虚假通知中的链接,那用户的个人数据将会暴露给后台的攻击者。

9.png

伪装成FIFA的网络钓鱼电子邮件示例

调查发现,网络攻击者特别热衷于向世界杯的超级商业赞助商Visa的客户下手,并以Visa的名义提供各种奖品。不过要参与该活动,用户需要登录钓鱼网站的链接,并要求他们输入他们的银行卡详细信息,包括CVV/CVC代码。

10.png

以Visa名义发送的邮件和钓鱼页面示例

其他攻击手段

除了利用社交工程外,钓鱼攻击者还部署恶意程序追踪用户的个人数据和资金变动。例如,以需要更新Flash Player来查看相匹配信息的名义植入恶意软件。

在某些情况下,攻击者对银行帐户和付款细节完全没有兴趣。例如,攻击者会以FIFA足球视频或游戏为主题,诱惑感兴趣的用户下载。此时,系统会提示用户在钓鱼登录页面上输入Origin平台(美国艺电游戏公司)的帐户凭证。如果受害者的个人资料下已显示有感兴趣的游戏,则网络犯罪分子会更改登录名/密码并将帐户链接到新的电子邮件地址,以便在黑市进行转售。

11.png

伪造的Origin登录页面

追踪发现,从5月下旬开始,关于各大航空公司的廉价航班的钓鱼电子邮件数量暴增。除了伪造的足球门票外,还有提供免费机票的抽奖活动。

12.png

以大型航空公司名义发送的抽奖活动邮件

诈骗技术还原

为了使伪装的钓鱼网站看起来可信,网络攻击者把带有关键词”world”,”worldcup”,”FIFA”,”Russia”等域名(例如:worldcup2018,russia2018,fifarussia)都进行了注册。即便这样,这些域名如果仔细看(例如,fifa.ucozx.site),则会非常的别扭,因为这是非标准的域名扩展。因此,在大多数情况下,我们可以通过仔细查看电子邮件中的链接或打开网站后的URL,来辨别是否中招了?

13.jpg

有关钓鱼网站的DNS WHOIS数据

同样,为了让用户放松警惕性,网络攻击者还从其他途径购买了大量的SSL证书,而有关认证机构通常是无法验证获得证书的是否真实存在,这意味着攻击者会的钓鱼的网址可以获得HTTPS的开头认证。要发现一个虚假的信息,查看域名的WHOIS数据就足够了。诈骗网站往往是在最近一段时间内注册的,而且他们的所有者通常都是私人。更重要的是,有关业主的详细信息往往是隐藏的。

除了活跃的域名外,卡巴斯基实验室的研究人员还发现了大量的“僵尸”域名,它们都有一个占位符页面,以便在关键时候随时投入攻击。网络攻击者将它们用作备份,如果一个域名被封锁,网站就会移至下一个域名。

14.png

14.2.png

备份域名的示例

总结

以上只是揭露了利用世界杯主题进行诈骗的冰山一角,不过,这为我们提供了一个关于网络攻击者如何实施诈骗的路线图。因此,研究人员预计,很快将会有大量钓鱼网站都会打着世界杯的主题,向你的邮箱中发送有关机票、热门住宿等邮件。

为避免被欺骗,请遵循以下简单安全指南:

1.仅在国际足联网站或官方售票处购买门票;

2.如果是在线购买,请单独为此办理一张银行卡并设置适当的消费限额;

3.不要打开陌生电子邮件中的链接或附件,即使它们看起来是合法的;

4.检查服务通知中链接的地址,如果有怀疑,请勿直接点击,要把链接地址复制到浏览器中手动打开;

5.为了保护钱财和信息安全,绝对不要购买垃圾邮件广告提到中的产品;

6.杀毒软件及时更新;

本文翻译自:https://securelist.com/2018-fraud-world-cup/85878/如若转载,请注明原文地址: http://www.4hou.com/info/news/11888.html
点赞 9
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论