現實案例告訴我們即便是網路安全專家也可能在網上上當受騙,這次的案例是知名密碼洩露查詢網站 HaveIBeenPwned.com 的創始人特洛伊・亨特 (Troy Hunt)。
特洛伊亨特是網路安全專家,他也是最早從暗網收集洩露資料庫並搭建密碼洩露查詢網站的人,人們只需要在 HIBP 網站輸入自己的賬號或郵箱即可查詢是否存在資料洩露及對應洩露資料的網站。
此次針對亨特的釣魚郵件也是精心準備的,亨特使用訂閱郵件服務提供商 Mailchimp 向 16000 名訂閱者提供訊息釋出,駭客冒充 Mailchimp 傳送了這封釣魚郵件。
在釣魚郵件中駭客稱 Mailchimp 收到關於其個人部落格郵件訂閱的垃圾投訴並導致郵件傳送許可權受限,當時亨特處於時差和疲憊狀態,於是並未仔細檢查郵件傳送人就點選連結。
連結對應網站需要輸入賬號密碼和 2FA 驗證碼,儘管亨特注意到 1Password 並未自動填充賬號密碼 (因為該密碼管理器僅會向已儲存的網站自動填充),但還是手動輸入了賬號密碼並且從 1Password 中複製貼上了 2FA 驗證碼。
駭客在背後使用自動化程式,當接收到賬號密碼和 2FA 驗證碼後,自動化程式立即進入了 Mailchimp 並建立 API 匯出了所有訂閱者 (包括取消訂閱) 的電子郵箱地址。
所幸這次釣魚事件的潛在影響非常有限,這不會洩露 HaveIBeenPwned.com 的資料,只是訂閱亨特部落格的人接下來可能要提防冒充亨特的電子郵件。
另外在竊取亨特賬號 2 小時 15 分鐘後,Cloudflare 似乎檢測到異常於是關閉了這個釣魚網站 (hxxp://mailchimp-sso.com),亨特也手動向谷歌舉報了該網站,所以 Chrome 也能攔截這個釣魚網站。
和大多數專業駭客一樣,此次發起攻擊的駭客透過某種方式盜用了比利時一家清潔公司的郵箱用來發送釣魚郵件,通常這類企業的域名聲譽較高,可以降低被攔截的機率。
最後還是提醒各位不要輕易點選電子郵件中的地址,任何郵件都應該核對其發信人郵箱 (但也可以透過代發進行假冒) 以及核對連結的域名,否則真的很容易上當受騙。
部落格原文:https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
補充說明:
藍點網有點懷疑發起攻擊的駭客到底是什麼目的,注意一個 .com 域名需要大約 8 美元並且在被發現釣魚而被攔截後基本就失去了價值。
盜用一家比利時企業的郵箱針對一個個人部落格郵件訂閱發起釣魚,最終只獲得 16000 個電子郵箱地址,總感覺這著實沒必要吧?總不能駭客以為亨特的郵件訂閱有幾十萬名使用者?
如果駭客不是為了炫技,那大機率會使用竊取的這些郵件傳送針對性的釣魚郵件,比如就是冒充亨特傳送其他釣魚郵件傳送惡意軟體或竊取其他資訊,但這種情況能收穫的東西實在是沒法猜。
