社交工程手法再升級：結合雲端服務與短期憑證規避防禦

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁面。 圖2：URL Pattern示意圖。 資料來源：TWCERT/CC整理 第二波攻擊行動中，駭客採魚叉式釣魚手法，同樣利用Microsoft 365服務，但改為針對特定目標「連續」發送多封偽冒「Microsoft一次性代碼通知」，企圖營造目標帳戶正遭多次嘗試登入假象，爾後再次寄送偽冒「Microsoft帳戶異常登入活動通知」，引誘目標點選連結立即登入帳戶以檢視異常登入紀錄，進而竊取目標帳號密碼，如圖3所示。 圖3：針對單一目標多次發送偽冒通知營造急迫氛圍，誘使受害目標輸入帳密。 資料來源：TWCERT/CC整理 駭客組織持續升級社交工程與釣魚攻擊手法，此次攻擊採取進階化策略，反覆寄送偽冒的 Microsoft 系統通知，企圖製造緊迫氛圍，利用收件人對官方通知的信任與時間壓力，誘使收件人在未充分確認下點擊惡意連結提供帳號密碼，造成帳戶被未授權存取與敏感資料外洩。 TWCERT/CC提醒企業與民眾保持高度警覺，特別是在收到疑似來自官方電子郵件時，應格外謹慎，以避免成為攻擊目標。 防護措施建議： 1. 建議留意可疑電子郵件，注意郵件來源正確性，不點擊不明的網址或連結，進入可疑網站不輸入個資、帳號密碼及金融資訊。 2. 建議定期更換符合複雜性需求之密碼，並啟用多因子認證(MFA)，以提高安全防護措施。 3. 網路管理人員應參考最新受駭偵測指標，確實實施預防性阻擋措施，以攔截並過濾可疑郵件。 4. 加強內部宣導，提升人員資安意識，以防範駭客利用電子郵件進行社交工程攻擊。TWCERT/CC接獲外部情資，近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名，並申請短期 SSL 憑證，試圖規避郵件與網頁防禦機制，發起釣魚郵件攻擊。 依據情資內容顯示，駭客在第一波攻擊行動中，透過租用的Microsoft 365合法電子郵件帳號，偽冒「Microsoft帳戶異常登入活動通知」，針對企業內部多個目標發動釣魚郵件攻擊，要求目標登入帳戶，檢視異常登入通知。 此外，攻擊者利用URL Pattern篩選目標，若符合規則便顯示客製化釣魚頁面以竊取帳號密碼；不符合則轉向官方合法登入頁面。 圖1：針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源：TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2)，「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標，決定何時顯示釣魚頁面。 圖2：URL Pattern示意圖。 資料來源：TWCERT/CC整理 第二波攻擊行動中，駭客採魚叉式釣魚手法，同樣利用Microsoft 365服務，但改為針對特定目標「連續」發送多封偽冒「Microsoft一次性代碼通知」，企圖營造目標帳戶正遭多次嘗試登入假象，爾後再次寄送偽冒「Microsoft帳戶異常登入活動通知」，引誘目標點選連結立即登入帳戶以檢視異常登入紀錄，進而竊取目標帳號密碼，如圖3所示。 圖3：針對單一目標多次發送偽冒通知營造急迫氛圍，誘使受害目標輸入帳密。 資料來源：TWCERT/CC整理 駭客組織持續升級社交工程與釣魚攻擊手法，此次攻擊採取進階化策略，反覆寄送偽冒的 Microsoft 系統通知，企圖製造緊迫氛圍，利用收件人對官方通知的信任與時間壓力，誘使收件人在未充分確認下點擊惡意連結提供帳號密碼，造成帳戶被未授權存取與敏感資料外洩。 TWCERT/CC提醒企業與民眾保持高度警覺，特別是在收到疑似來自官方電子郵件時，應格外謹慎，以避免成為攻擊目標。 防護措施建議： 1. 建議留意可疑電子郵件，注意郵件來源正確性，不點擊不明的網址或連結，進入可疑網站不輸入個資、帳號密碼及金融資訊。 2. 建議定期更換符合複雜性需求之密碼，並啟用多因子認證(MFA)，以提高安全防護措施。 3. 網路管理人員應參考最新受駭偵測指標，確實實施預防性阻擋措施，以攔截並過濾可疑郵件。 4. 加強內部宣導，提升人員資安意識，以防範駭客利用電子郵件進行社交工程攻擊。 See more: https://www.twcert.org.tw/tw/cp-104-10473-991dd-1.html