首页 » 漏洞 » 深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

 

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

前情提要

技术支持诈骗手段不停地在进化中,骗子们不断的探索更多的方式来捕获更多的受害者。最近,越来越多的网络犯罪分子通过大批量的投放垃圾邮件的方式,向潜在的受害者发送包含诈骗网站链接的钓鱼邮件。

这类钓鱼邮件通常会使用一些常见的社会工程学技巧,试图伪装成合法的通信往来,骗取目标用户点击恶意的钓鱼网址。

然而,与以往的旨在窃取用户凭据的恶意链接不同,这些邮件中的网站链接会将用户重定向到一个伪造的技术支持网站,犯罪分子使用各种恐吓手段诱骗用户呼叫热线电话和/或支付不必要的“技术支持服务”费用。

以电子邮件作为一种传染媒介无疑为技术支持诈骗迅速且大范围的传播提供了便利。根据微软的统计数据显示,近期使用不同平台和软件的用户遭遇技术支持诈骗的总量超过300百万/月。

然而,技术支持诈骗与传统的电子邮件威胁不同:

  • 许多技术支持骗局中起始于包含恶意广告的可疑站点(主要是假冒称盗版软件安装或音视频媒体下载的网站),这些站点自动将访问者重定向到技术支持诈骗网站,之后再进一步的诱骗潜在的受害者拨打热线电话。

  • 某些技术支持诈骗与恶意软件(如Hicurdismos、Monitnev)相结合,伪装成一个合法的软件,用户下载后会显示一个虚假的蓝屏,它显示一个假蓝屏屏幕,或伪装成一个系统监控软件,应用程序崩溃时显示一条虚假的错误通知。

  • 也有一些使用电话方式进行技术支持诈骗。主要表现为:诈骗者打电话给潜在的受害者,假装是某软件公司或合作公司的员工,诱骗受害者安装可供远程访问的应用程序(*注意,技术支持型的诈骗主要利用社工技巧,而非漏洞),有经验诈骗者会误导受害者以为系统真的出现了问题,需要维修,而为了解决问题,需要向骗子一次性的支付服务或购买某类解决方案的费用。

最近,越来越多的技术支持诈骗通过垃圾邮件的方式进行传播,这表明诈骗者们一直在不停的改进其诈骗的方式。从目前的情况来看,虽然犯罪分子们仍然会继续使用恶意广告、恶意软件或电话的方式实施技术支持诈骗,但使用电子邮件进行推广,会有效的扩大潜在受害者的覆盖范围。

技术支持诈骗的另一种感染途径

包含技术支持诈骗页面链接的垃圾邮件看起来很像钓鱼邮件。诈骗者一般会将邮件伪装成是电子商务服务提供商或社交网络平台的通知,而可疑链接通常隐藏在看似无害的文本中,示例如下:

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图1:伪装成来自阿里巴巴集团的取消订单的邮件样本,可疑链接隐藏在订单号里

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图2:伪装成来自亚马逊的取消订单的邮件样本,可疑链接也隐藏在订单号里

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图3:伪装成来自LinkedIn的消息通知的邮件样本,邮件内容中包含三个超链接(指向相同的可疑链接)

分析上述电子邮件样本中的可疑链接,发现它们指向以下站点(这些站点很可能是被入侵了):

hxxp://love.5[redacted]t.com/wordpress/wp-content/themes/acoustician.php

hxxp://s[redacted]t.com/wp-content/themes/paten.php

hxxp://k[redacted]g.org/wp-content/categorize.php

分析的过程中发现一件很有趣的事,上述可疑站点中包含一些代码能够将一些访客转向医学或交友网站,如下所示

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图4:将用户重定向到药学网站

不过大多数情况下,最终会将用户重定向到技术支持诈骗页面。

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图5:最终将用户重定向到技术支持诈骗网站

深入了解技术支持诈骗网站

技术支持诈骗网站往往会模仿合法网站的样子,不过会显示一个包含(虚假)警告和客户服务热线号码的弹出消息。为了完成一次诈骗,通常还会有专门的人员负责接听用户打来的电话,这些电话应答员会设法欺骗用户支付技术支持的费用。

深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”

图6:包含虚假警告和热线电话号码的技术支持诈骗网站

技术支持诈骗网站擅用各种社会工程学技术,诱骗或胁迫用户拨打所提供的热线电话。常用的方式包括:警告用户的设备感染了恶意软件、软件许可证过期、系统出现了问题等。一些诈骗网站还会显示一个倒计时计时器,目的是为了给潜在的受害者制造一种紧迫感,还有一些会通过播放音频的方式来描述一个虚构的问题。

技术支持诈骗网站也会使用循环显示弹出框或对话框的策略。一个循环的对话框,是指在技术支持诈骗的站点上嵌入恶意的代码,这些代码会导致浏览器反复呈现一系列包含虚假威胁消息的警报信息。用户取消一个警报,恶意代码会调用另一个,循环往复,基本上锁定了受害者的浏览器会话。

更先进一些技术支持诈骗网站,会充分利用Web网页元素来伪装弹出的消息。例如有些诈骗网站会显示伪造的地址栏,模仿模仿浏览器窗口并全屏显示。

防御措施

成本低、效益高、风险小,技术支持诈骗将继续扩大和发展。为有效对抗这类攻击,多层防御是必要的。

除了一个更加安全的网络环境之外,对于单独的一个用户而言,首先可以参考针对钓鱼邮件的防御措施:不要打开陌生人的或可疑的邮件;不要打开可疑的链接;不要下载可疑的附件;最重要的,警惕自己的好奇心!

技术支持诈骗的犯罪分子非常善于利用各种社会工程学技术,让潜在的受害者拨打虚假的电话热线。不要拨打弹出消息显示的热线号码。对执行敏感操作之前应提高警惕,最好能够通过所使用软件的提供商的官方途径进行确认。

一些诈骗者可能会直接联系你,并声称是某某公司的技术支持、售后服务或客服人员。请保持警惕!!!尤其需要注意的是,知名的公司很少会主动向客户提供未经请求的技术支持。如上所述,最好通过官方的、正规的途径对问题进行确认,防止上当受骗。

原文链接:深入解析技术支持诈骗:钓鱼邮件中暗藏的“花枪”,转载请注明来源!

0