已发现Microsoft帐户网络钓鱼诈骗的新登录页面,该网页利用SmtpJS服务通过电子邮件将窃取的凭据发送给攻击者。
MalwareHunterTeam发现的Microsoft帐户网络钓鱼页面的外观没有什么特别之处。这是您的标准Microsoft登录模板,它会询问您的Microsoft凭据,然后告诉您提交的凭据不正确。
当用户在此类网络钓鱼诈骗中提交凭据时,该页面通常会将其保存到数据库以便以后检索,或者使用后端脚本将其发送给攻击者。
这个特定的登录页面通过利用SmtpJS服务通过java script向攻击者发送电子邮件来做一些不同的事情。
对于安全研究人员和分析师来说,这样做的好处是他们可以简单地查看登录页面的来源,以查看SmtpJS正在使用的配置,如下所示。
嵌入式配置包括将发送被盗凭证的发件人电子邮件地址,他们将被发送到的地址,以及安全令牌需要通过SmtpJS发送电子邮件。利用这些信息,分析师和研究人员可以将攻击者与其他活动联系起来,并使执法部门更容易跟踪他们。
当用户输入其凭据时,此配置将传递给smtpjs.com,以便它可以生成指定用户的电子邮件,如下所示。
虽然研究人员受益于SmtpJS使用的公共配置,但系统管理员也可以通过阻止其Web过滤器上的服务而受益。
除非您的组织绝对需要此服务,否则您只需阻止访问smtpjs站点,并且使用它的网络钓鱼页面将无法接收任何提交的凭据。
这也是了解安全威胁的底层基础架构如何能够更好地允许系统和网络管理员保护其用户的另一个示例。
分享新闻到: