top of page
搜尋

社交工程手法再升級:結合雲端服務與短期憑證規避防禦

  • 作家相片: Hao Chen Lu
    Hao Chen Lu
  • 10月29日
  • 讀畢需時 4 分鐘

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心TWCERT/CC接獲外部情資,近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名,並申請短期 SSL 憑證,試圖規避郵件與網頁防禦機制,發起釣魚郵件攻擊。 依據情資內容顯示,駭客在第一波攻擊行動中,透過租用的Microsoft 365合法電子郵件帳號,偽冒「Microsoft帳戶異常登入活動通知」,針對企業內部多個目標發動釣魚郵件攻擊,要求目標登入帳戶,檢視異常登入通知。 此外,攻擊者利用URL Pattern篩選目標,若符合規則便顯示客製化釣魚頁面以竊取帳號密碼;不符合則轉向官方合法登入頁面。 圖1:針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源:TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2),「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標,決定何時顯示釣魚頁面。 圖2:URL Pattern示意圖。 資料來源:TWCERT/CC整理 第二波攻擊行動中,駭客採魚叉式釣魚手法,同樣利用Microsoft 365服務,但改為針對特定目標「連續」發送多封偽冒「Microsoft一次性代碼通知」,企圖營造目標帳戶正遭多次嘗試登入假象,爾後再次寄送偽冒「Microsoft帳戶異常登入活動通知」,引誘目標點選連結立即登入帳戶以檢視異常登入紀錄,進而竊取目標帳號密碼,如圖3所示。 圖3:針對單一目標多次發送偽冒通知營造急迫氛圍,誘使受害目標輸入帳密。 資料來源:TWCERT/CC整理 駭客組織持續升級社交工程與釣魚攻擊手法,此次攻擊採取進階化策略,反覆寄送偽冒的 Microsoft 系統通知,企圖製造緊迫氛圍,利用收件人對官方通知的信任與時間壓力,誘使收件人在未充分確認下點擊惡意連結提供帳號密碼,造成帳戶被未授權存取與敏感資料外洩。 TWCERT/CC提醒企業與民眾保持高度警覺,特別是在收到疑似來自官方電子郵件時,應格外謹慎,以避免成為攻擊目標。 防護措施建議: 1. 建議留意可疑電子郵件,注意郵件來源正確性,不點擊不明的網址或連結,進入可疑網站不輸入個資、帳號密碼及金融資訊。 2. 建議定期更換符合複雜性需求之密碼,並啟用多因子認證(MFA),以提高安全防護措施。 3. 網路管理人員應參考最新受駭偵測指標,確實實施預防性阻擋措施,以攔截並過濾可疑郵件。 4. 加強內部宣導,提升人員資安意識,以防範駭客利用電子郵件進行社交工程攻擊。TWCERT/CC接獲外部情資,近期出現一波結合雲端服務與仿冒網域的社交工程攻擊活動。 駭客透過租用Microsoft 365服務、註冊近似官方的域名,並申請短期 SSL 憑證,試圖規避郵件與網頁防禦機制,發起釣魚郵件攻擊。 依據情資內容顯示,駭客在第一波攻擊行動中,透過租用的Microsoft 365合法電子郵件帳號,偽冒「Microsoft帳戶異常登入活動通知」,針對企業內部多個目標發動釣魚郵件攻擊,要求目標登入帳戶,檢視異常登入通知。 此外,攻擊者利用URL Pattern篩選目標,若符合規則便顯示客製化釣魚頁面以竊取帳號密碼;不符合則轉向官方合法登入頁面。 圖1:針對多個目標發送偽冒Microsoft系統通知意圖竊取帳密。 資料來源:TWCERT/CC整理 URL Pattern 是一種用來判斷網址是否符合特定格式的規則(如圖2),「/*」代表所有在 login.example.com 下的頁面。 攻擊者可利用這樣的 URL Pattern 精準篩選目標,決定何時顯示釣魚頁面。 圖2:URL Pattern示意圖。 資料來源:TWCERT/CC整理 第二波攻擊行動中,駭客採魚叉式釣魚手法,同樣利用Microsoft 365服務,但改為針對特定目標「連續」發送多封偽冒「Microsoft一次性代碼通知」,企圖營造目標帳戶正遭多次嘗試登入假象,爾後再次寄送偽冒「Microsoft帳戶異常登入活動通知」,引誘目標點選連結立即登入帳戶以檢視異常登入紀錄,進而竊取目標帳號密碼,如圖3所示。 圖3:針對單一目標多次發送偽冒通知營造急迫氛圍,誘使受害目標輸入帳密。 資料來源:TWCERT/CC整理 駭客組織持續升級社交工程與釣魚攻擊手法,此次攻擊採取進階化策略,反覆寄送偽冒的 Microsoft 系統通知,企圖製造緊迫氛圍,利用收件人對官方通知的信任與時間壓力,誘使收件人在未充分確認下點擊惡意連結提供帳號密碼,造成帳戶被未授權存取與敏感資料外洩。 TWCERT/CC提醒企業與民眾保持高度警覺,特別是在收到疑似來自官方電子郵件時,應格外謹慎,以避免成為攻擊目標。 防護措施建議: 1. 建議留意可疑電子郵件,注意郵件來源正確性,不點擊不明的網址或連結,進入可疑網站不輸入個資、帳號密碼及金融資訊。 2. 建議定期更換符合複雜性需求之密碼,並啟用多因子認證(MFA),以提高安全防護措施。 3. 網路管理人員應參考最新受駭偵測指標,確實實施預防性阻擋措施,以攔截並過濾可疑郵件。 4. 加強內部宣導,提升人員資安意識,以防範駭客利用電子郵件進行社交工程攻擊。 See more: https://www.twcert.org.tw/tw/cp-104-10473-991dd-1.html

最新文章

查看全部
2025臺灣網路惡意活動數量居高不下,在亞太地區名列前茅

Source: IThome新聞 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首先,是11月底Fortinet全球威脅情報副總裁Derek Manky公開1月至9月的觀測結果。 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首

 
 
 
體驗:未來的優勢

Source: IThome新聞 在現代商業競爭上,顧客體驗(Customer Experience)已成為企業勝出的關鍵戰略,而非僅僅是附加價值。 根據麥肯錫(McKinsey)的研究,提供優質顧客體驗的企業,其營收成長速度比競爭對手快1.5倍,股東回報率更是高出60%。 這不僅是一組數據,更是一個無法忽視的市場現實:忽略顧客體驗,企業終將被市場邊緣化。 更加值得深思的是,貝恩公司(Bain &

 
 
 
.NET 10統一建置架構加快安全修補與版本發布節奏

Source: IThome新聞 微軟在.NET 10正式版中導入新的統一建置架構(Unified Build),重整產品建置與發行流程,讓版本更新與安全修補的速度與可預測性大幅提升。 官方提到,這項改造是.NET團隊近4年投入基礎建置工作的成果,結合原先Linux原始碼建置經驗,目標是簡化多儲存庫開發造成的建置延遲與維護負擔。 微軟在.NET 10正式版中導入新的統一建置架構(Unified B

 
 
 

留言

雷盾資安股份有限公司版權所有 © 2022 by TS Security Co., Ltd.

  • Instagram
  • Facebook
  • LinkedIn
bottom of page