利用二维码进行的钓鱼、投毒,成为目前常见的邮件攻击手段之一,该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。
近日,安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击者打着“员工福利”之类的名号,降低防备心,将二维码放在邮件正文中或者附件中,再加上精心准备的钓鱼界面,稍有不慎就泄露自己的银行卡号密码等,最终被攻击者利用,造成敏感信息泄露个人经济损失。部分样本如下:
相较于薪资补贴、个人所得税申报等二维码钓鱼邮件,这类邮件在发件人成功伪造收件人相同邮件域账户的情况下,很多收件人认为是公司内部邮件而放松警惕,目前有企业员工上当受骗。
目前ASEG反欺诈策略能精确识别发件人是否为伪造的企业邮件账户,启发式规则库已提取该类邮件特征,能进行拦截,并处于持续优化更新中。
✅ 类型2:链接钓鱼(URLPhish)
该类钓鱼邮件主要通过伪造IT信息部门的邮件内容提醒用户邮箱账号异常登录、账户限制、账户停用及安全升级等。常见于攻防演练期间钓鱼攻击,APT钓鱼攻击等。部分样本如下:
目前启发式规则库支持对该类邮件全方面拦截,检测点包括但不限于:用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。
✅ 类型3:木马附件(Trojan)
近期,安全团队也捕获到携带 Kryptik 木马附件的恶意邮件,内容上为订单、发票单、询价等业务相关信息,并且携带压缩文件,内含恶意PE文件。部分样本如下:
