美国司法部指控罗德岛州的一名妇女参与了针对政治候选人和相关人员的网络钓鱼攻击活动,该攻击活动的幕后团伙冒充各种身份的工作人员,包括微软安全团队和参与竞选的工作人员,试图欺骗受害者提供账户凭证。
根据司法部的一份新闻稿,美国马萨诸塞州地区检察官办公室指控21岁的Diana Lebeau(来自R.I.Cranston)企图未经授权访问受保护的计算机。
据司法部称,这项指控和Lebeau涉嫌从2020年1月开始对两名未透露姓名的政治职位候选人以及他们身边的大约22名工作人员发起的网络钓鱼活动有关。同时美国助理检察官Seth Kosto也正在起诉此案。
当局说,此次攻击活动分了两个阶段进行,目标也各不相同,据称Diana Lebeau采用了典型的网络钓鱼战术来进行攻击,即冒充受害者所信任的同事的身份,试图诱使他们提供出证书的相关信息。她甚至还冒充了其中一名候选人,试图窃取他的证书资料。
两个阶段的攻击活动
该攻击活动的第一阶段发送了两套钓鱼邮件。据司法部称,其中一封声称是来自竞选团队的经理或竞选团队的一名联合主席的,要求收件人将他们的账户凭证放入一个附加的电子表格中,或者点击一个链接,要求他们在同样的一个谷歌表格中填写账户凭证。
据称,Lebeau还针对候选人的配偶和其他同事发送了伪造的来自微软 "安全团队 "或工作场所的IT服务台员工的钓鱼信息。
据司法部称,这些电子邮件要求收件人提供账户凭证或相关的计算机的其他信息,将其添加到文件附加的电子表格中,或者在一个伪造的合法网站上进行数据提交。
该攻击活动的第二阶段是在两个月后的3月,据称Lebeau针对另一位政治职位候选人发送了钓鱼邮件,声称自己是来自该候选人的电信和互联网供应商。这些电子邮件都包含了一个虚假的登录链接,看起来是为了解决该候选人账户的问题,并且需要收件人提供登录凭证。
根据司法部的说法,Lebeau还在与有线电视和互联网供应商的在线聊天中冒充该候选人,试图重新设置并获得该候选人的账户密码。
判处结果过于宽松
据司法部称,考虑到Lebeau的行为没有经济或政治动机,也没有为任何外国政府、机构或代理人谋取利益,Lebeau将面临最高一年的监禁、一年的监督性释放、最高10万美元的罚款的惩罚。
然而,一位安全专家批评了这项指控并且他认为这样的判处太过于宽松,并建议政府应该像对待国外攻击者一样认真对待这次的攻击行动。
安全和风险分析公司Gurucul的首席执行官Saryu Nayyar在给Threatpost的一封电子邮件中说:
这是一个非常难以置信的针对网络钓鱼攻击活动的判处结果,因为指控文件并没有表明Lebeau以金融或政治动机从外国政府或代理人那里获得利益好处。这个动机并不是我们所关心的,尽管这是在国内,但这非常像是一个有政治动机的攻击活动。 |
纳亚尔建议,鉴于美国当前政治气候的 "毒性 "和急剧两极化的态势,极端的观点需要进行极端的处理,我们不应该轻视Lebeau的攻击动机。
她问:那么这个女人的攻击动机到底是什么呢?好奇的人们都想知道。
本文翻译自:https://threatpost.com/doj-woman-phishing-politicians/166594/