窃取Office 365凭据的网络钓鱼网站添加了实时支持,以增加受害者上当的可能性。但事情并不总是按照网络罪犯的意图进行,他们的虚张声势被研究人员发现了。
实时聊天支持在欺诈世界中并不是什么新鲜事,它在勒索软件业务中很受网络犯罪团体的欢迎,以此欺骗受害者支付赎金。
然而,这种方式在网络钓鱼中并不常见。安全研究员Justin Miller是钓鱼工具包追踪软件Phishing Kit Tracker的作者,该软件收集了来自500个网络钓鱼工具包的电子邮件,Justin Miller表示具有聊天功能的不到十个。
由安全研究人员Michael Gillespie 发现的Office 365网络钓鱼欺诈活动首先发送一封声称来自Microsoft的电子邮件,提醒受害者续订Office相关服务。
发件人是MSOffice,电子邮件地址是“info@officefamily[.]us”,这可能会让很多人误以为是微软的合法通知。
打开邮件并点击里面的链接,就会进入一个模仿Microsoft官网的虚假网站mso365[.]tech。这个网站依然很活跃但非常粗糙,很难相信会有人上当。
可能是为了弥补专业上的不足,欺诈者将实时聊天支持集成到页面中,使用合法的聊天软件tawk提供虚假的客服服务。
当潜在受害者没有在欺诈网站上登录其Office365帐户时,就会转向客服服务,该服务在页面上方便可见。然后就到了诈骗者利用他们社会工程技能的时候了。
一切都记录在案
Gillespie记录了与诈骗者的互动。研究人员被问到有关Office 365帐户的敏感详细信息,这是假客服必须要解决的问题。所有的数据都提供了,你可以从下面的聊天互动中看到:
除非该账户采取了额外的安全措施,否则这些细节就足以劫持该账户。此外,如果受害者的计算机开启了远程访问功能,破坏者可以利用直接通信造成更多损害。
Gillespie与假客服的互动突然结束。当客服问他登录时有没有遇到什么问题,这是一个典型的故障排除问题,他回答说:“是,这个网站是假的。”之后,诈骗者结束了聊天。
Gillespie向Tawk.to聊天服务部门报告了此事,他们在推文中表示他们已经注销了该账户。该网站仍然可以访问,可能需要一些时间才能将其关闭。
然而Tawk.to的行动似乎只是一个短暂的胜利,因为欺诈者创建了一个新账户恢复了其业务。
Gillespie发布了一张截图,上面显示在提供了一个非常明显的假名字后,客服还在和他聊天,大概是研究人员的暗示太微妙了吧。