伊朗黑客使用网络钓鱼来窃取图书馆资料

目前，臭名昭著的Silent Librarian（沉默的图书管理员）正在不断更新其策略和技术，以便他们在网络钓鱼页面使用误导信息，并在无形中威胁到用户。

安全研究人员以不同的名称（TA407，Cobalt Dickes，Mabna Institute）进行追踪，他们都认为这与伊朗政府有关系，其目的是从全球的大学图书馆中窃取知识产权。

从今年6月到10月，网络钓鱼活动非常频繁，主要目标是北美的大学，其中许多在美国和欧洲。

网络钓鱼邮件特点

网络安全公司Proofpoint的研究人员在近日的一份报告中强调，Silent Librarian在网络钓鱼电子邮件中的话术，已经随着时间而发展。但是主题基本保持不变，最普遍的问题是用户无法访问图书馆资源，另外，帐户过期也是一种常见诱饵。

正如研究人员多年来所见，上述风格正是Silent Librarian的经典之作。

在Proofpoint观察到的另一则网络钓鱼邮件中，攻击者向用户发送了关于账号长期未使用虚假通知，这导用户关闭账户，然后按照指示登录其图书馆帐户来继续访问图书馆资源，邮件中的话术看起来很有说服力，如果登录过程无法顺利进行，还提供了联系方式。

研究人员说，为了使电子邮件可信，攻击者使用了目标大学的品牌图像，并且通过实时跟踪身份验证门户的变化并将其整合到网络钓鱼页面中，这就让钓鱼邮件看起来更合法。

在下面的克隆的登录页面中能看出，Silent Librarian仿照大学的登录门户伪造了域名、商标和准确的天气预报，使此钓鱼页面看起来天衣无缝。

尽管美国司法部去年指控9名黑客从事这项活动，但这项活动仍在继续。

起诉书说，这些黑客要么是伊朗公司Mabna Institute的雇用，要么是其附属机构，该公司是在伊朗一家情报机构的指导下进行了网络入侵。目的是从大学窃取知识产权并通过多个网站出售。

SecureWorks的研究人员在9月的一份报告中说，Silent Librarian影响  了30多个国家中的至少380所大学。仅在7月和8月，该组织就针对60所大学发起了攻击。

他们继续使用Freenom服务免费注册域名，正如在9月的一次活动中，当时使用了16个.tk和.cf域名。点击这里，可以看到Proofpoint的报告中提供了自1月以来观察到的域名的完整列表。

典型的Silent Librarian攻击流程始于使用受感染大学的帐户创建缩短的URL。这将被发送给另一所大学的收件人，他们应该是身份验证门户的用户。

高等教育机构是该威胁者的主要目标。因此强烈建议他们实施并强制执行双因素身份验证，这样则使黑客很难访问受保护的资源。