假冒知名快递公司发送钓鱼邮件窃取账户 已有上万人中招

据外媒报道，近期有攻击者将自己伪装成为知名的快递公司，包括联邦快递（FedEX）和DHL Express，然后通过钓鱼攻击实现窃取受害者的商业电子邮件账户的目的，而受害者可能不少于1万人。

检测到这一攻击活动的网络安全公司——Armorblox的研究人员称，攻击者使用的技术包括社工、假冒品牌和链接重定向，同时他们还会在Google FireBase（谷歌的移动平台）、Quip上建立钓鱼页面，研究人员表示，可能是这些相关的恶意电子邮件绕过了一些防护措施（如屏蔽非法链接、文件的安全过滤器等），从而让这些网站的域名和链接都会被认作是正常的。

值得一提的是，两者虽然攻击流程略有不同，但都是通过知名的快递公司发起，并以知名科技公司的登录界面实现。

伪造微软门户登录界面 联邦快递（FedEX）网络钓鱼攻击‍

该事件的整个攻击流程在报道中被还原。首先这些钓鱼邮件会使用诸如“您有一个新的联邦快递信息”，这个标题和包括发送者在内的信息都模仿得惟妙惟肖；接下来点开这个邮件，受害者很容易就会被其中的内容所迷惑，因为其内容和文件看起来都很正常，包括ID、页数、文件类型等等，当然还包括一个查看该文件的链接；

如果受害者点击这个链接，那么他们就会被带到Quip上的一个页面，这个页面会展示快递公司LOGO等，让它看起来非常真实，内容则会提示受害者收到了一个联邦快递的文件，并告诉他们可以点击查看文件；如果点击，那么受害者就会被带到最终的钓鱼页面——一个假冒的微软门户的登录界面，据称，这个页面是建立在Google FireBase上。

另外，如果受害者在页面上输入登录凭证后，页面会重新加载，并提示错误，要求受害者输入正确的详细信息。值得一提的是，不管你输入的信息是否正确，这个提示错误信息的页面都会出现。之所以会这样，研究人员表示这应该是攻击者设定了一个验证机制，以检查输入内容的真实性，或者是攻击者可能会希望获得尽可能多的电子邮件地址或密码信息。

伪造Adobe登录界面 DHL Express网络钓鱼攻击‍

虽然都是利用快递公司的邮件来发起攻击，但是DHL Express网络钓鱼攻击和之前的联邦快递方式有些不同。一封标题为“你的包裹已到达”的伪造邮件会被投递到收件人的信箱中，其内容是告知由于投递错误，包裹无法投递到他们手中，请到邮局领取，同时还会提示收件人，如果想要接收包裹的话，需要点击查看附件中的一份标题为“SHIPPING DOC”的HTML文件，点击后会打开一个像是物流信息文档的电子表格。

但是，预览需要通过Adobe PDF阅读器，打开后会有一个登录Adobe账户的请求出现。研究人员表示，尽管看起来像是要获取受害者的Adobe账户信息，但实际上的目标还是其工作邮件的登录凭证，因为在这个登录框中，账户那一栏已经预先填写了接收钓鱼邮件的邮箱地址，因此受害者会很轻易地输入对应这个邮箱的密码。

两种攻击相同之处在于，当受害者输入密码等信息之后，均会返回错误信息，让受害人再次输入。