11月1日,卡巴斯基表示,最近针对Office 365 用户的鱼叉式网络钓鱼活动,系不法分子盗用其Amazon SES令牌所致。从攻击者使用的Iamtheboss和MIRCBOOT两个网络钓鱼工具包来看,卡巴斯基安全专家认为本次钓鱼攻击者的企图很明显。
攻击者没有试图冒充卡巴斯基,而是使用卡巴斯基官方电子邮箱,将网络钓鱼邮件伪装成过时的“传真通知”发送给潜在受害者,之后引诱用户访问虚假网站来收集Microsoft 在线服务的授权证书。
Amazon SES是亚马逊推出的一种可扩展电子邮件服务,开发人员能够从任何应用程序中发送电子邮件,满足包括营销和群发电子邮件在内的各种邮件发送需求。钓鱼者正是利用了这点,从亚马逊网络服务终端发送电子邮件,轻松绕过大多数安全电子邮件网关(SEG)到达目标邮箱,通过更换不同的发件人地址,达到大规模发送钓鱼邮件的目的。
卡巴斯基发布通知称,Amazon SES令牌是在 2050.earth网站测试期间被窃取的,由于该网站受亚马逊托管,在发现这些钓鱼攻击后,SES令牌随即被撤销,因此2050.earth网站及相关服务器并未受损,也没发现未经授权的数据库访问及其他恶意活动。
卡巴斯基警告用户注意类似的鱼叉式网络钓鱼邮件,尤其在被要求提供授权证书及其他敏感信息时,即使发件人是熟悉的品牌方也不要掉以轻心。noreply@sm.kaspersky.com是卡巴斯基披露的一个钓鱼邮件发件人地址,用户还可以访问卡巴斯基博客,通过电子邮件标题查看发件人身份的详细信息。
针对 Office 365 的高度规避鱼叉式网络钓鱼活动频频出现,大量用户数据遭到窃取,作为利益相关方,微软也在不断发送警报提醒用户提高警惕。
参考来源:https://www.bleepingcomputer.com/news/security/kasperskys-stolen-amazon-ses-token-used-in-office-365-phishing/