HackerNews 编译,转载请注明出处:
网络安全研究人员发现,近期出现大量冒充微软、DocuSign等知名品牌的钓鱼邮件,其附件PDF中包含恶意二维码或链接,诱导受害者拨打攻击者控制的电话。这种新型攻击手法被称为“电话导向攻击投递”(Telephone-Oriented Attack Delivery,简称TOAD,也称“回拨式钓鱼”)。
思科Talos研究员Omid Mirzaei向The Hacker News透露,2025年5月5日至6月5日期间的分析显示,微软和DocuSign是PDF附件钓鱼邮件中最常被冒充的品牌,而NortonLifeLock、PayPal和Geek Squad也频繁出现在此类攻击中。
这些攻击利用用户对知名品牌的信任,通过PDF附件嵌入看似合法的二维码或链接,将受害者重定向至伪造的微软登录页面或Dropbox等服务的钓鱼网站。部分攻击甚至利用PDF注释功能隐藏恶意URL,伪装成便签、评论或表单字段,同时链接到真实网页以增强可信度。
在TOAD攻击中,受害者会被诱导拨打邮件中的“客服电话”,攻击者则冒充品牌客服代表,诱骗受害者泄露敏感信息或安装恶意软件。攻击者通常通过伪造紧迫感、播放虚假等待音乐、甚至伪造来电显示等手段,增强欺骗效果。
美国联邦调查局(FBI)2025年5月曾警告,一个名为“Luna Moth”的金融犯罪集团利用类似手法,冒充IT部门人员入侵企业网络。Mirzaei指出:“攻击者通过语音通话直接操控受害者情绪,利用人们对电话沟通的天然信任实施社会工程学攻击。”
大多数攻击者使用VoIP号码隐藏身份,部分号码甚至连续使用四天,以便通过同一号码实施多阶段社会工程学攻击。思科Talos强调:“品牌冒充是最常见的社会工程学手段之一,建立品牌冒充检测引擎对防御此类攻击至关重要。”
近期,攻击者还利用微软365(M365)的“Direct Send”功能发送钓鱼邮件。该功能允许攻击者无需入侵账户,即可伪造内部用户身份发送邮件。自2025年5月以来,已有超过70家组织成为此类攻击的目标。
这些伪造邮件不仅看似来自组织内部,还利用智能主机地址的可预测性(如“<tenant_name>.mail.protection.outlook.com”)绕过身份验证。攻击者有时会诱导受害者安装AnyDesk或TeamViewer等远程控制软件,或通过伪造支付页面窃取信用卡信息。
例如,2025年6月17日的一封钓鱼邮件伪装成语音邮件通知,附件PDF中的二维码指向伪造的微软365登录页面。安全研究员Tom Barnea指出:“攻击者利用M365 Direct Send功能发送内部邮件,这类邮件比外部邮件更容易绕过审查,成为低门槛的钓鱼载体。”
与此同时,Netcraft的最新研究发现,当用户向大型语言模型(LLM)询问50个不同品牌的登录网址时,模型有三分之一的时间会返回错误结果:近30%的域名未注册或闲置,5%指向完全无关的网站。这意味着用户可能因AI聊天机器人的错误引导而访问钓鱼网站。
Netcraft还发现,攻击者试图通过GitHub发布包含恶意功能的虚假API来“污染”AI编程助手(如Cursor)。安全研究员Bilaal Rashid表示:“攻击者不仅发布代码,还创建博客教程、论坛问答和数十个GitHub仓库进行推广。他们使用精心设计的虚假账户,伪装成可信开发者,诱导AI训练模型收录恶意代码。”
此外,攻击者还通过名为“Hacklink”的非法市场,向被入侵的政府(.gov)或教育(.edu)网站注入JavaScript或HTML代码,操纵搜索引擎优先展示钓鱼网站。安全研究员Andrew Sebborn解释:“Hacklink允许犯罪分子购买数千个被入侵网站的权限,插入指向钓鱼或非法网站的链接。这些链接与特定关键词关联,当用户搜索相关内容时,被入侵网站会出现在搜索结果中。”
更令人担忧的是,攻击者无需完全控制网站,即可篡改搜索结果中的文本内容,进一步损害品牌信誉和用户信任。
消息来源: thehackernews ;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
