Microsoft 成为 2023 年第二季度网络钓鱼诈骗中最常被冒充的品牌

2023 年 7 月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research (CPR) 发布了其《2023 年第二季度品牌网络钓鱼报告》。该报告重点介绍了 2023 年 4 月、5 月和 6 月网络犯罪分子在企图窃取个人信息或支付凭证时最常冒充的品牌。

上季度，全球科技公司 Microsoft 排名上升，从 2023 年第一季度的第三位升至首位。在所有品牌网络钓鱼攻击中，这家科技巨头占比 29%。这其中部分原因可能与网络钓鱼攻击活动有关。在此类攻击活动中，黑客向帐户持有人发送欺诈性消息，提示其帐户存在异常行为。该报告中，Google 位列第二，在上季度所有网络钓鱼攻击事件中占比 19%；Apple 位居第三，占比 5%。从行业来看，IT行业是最常被冒充的行业，其次是银行和社交媒体网络。

今年年初，Check Point Research 警告称，利用金融业品牌实施的网络钓鱼攻击活动呈上升趋势。近三个月来，这一趋势持续走高。例如，美国富国银行在本季度排名第四，假冒该品牌的一系列恶意电子邮件试图骗取受害者的帐户信息。类似的手法也出现在冒充沃尔玛和 LinkedIn 等品牌的其他骗局中，这两个品牌在该报告的前十榜单中分别位列第六和第八。

Check Point 软件技术公司数据事业部经理 Omer Dembinsky 表示：“虽然最常被冒充的品牌在每个季度都有所变化，但网络犯罪分子鲜少变换攻击手法。这是因为假冒知名品牌向我们的收件箱发送电子邮件并骗取信任的手段屡试不爽。 因此，用户在点击任何陌生链接之前，应进行仔细检查。是否有任何拙劣的表述或要求你立即采取行动的措辞？如果是，那么这可能是一封网络钓鱼电子邮件。对于担心自身数据安全和声誉的企业而言，采用领先的安全解决方案来有效拦截这些电子邮件至关重要。” 

在最新 Titan 版本 R81.20 中，Check Point 宣布推出了一项名为“零网络钓鱼”的内联安全技术。现在，该技术通过名为“品牌欺诈防御 (Brand Spoofing Prevention)”的新引擎进行了增强，不仅能够阻止品牌冒充，并可检测和拦截任何语言和国家（地区）中被用作诱饵的本地品牌，而且还支持主动防御 — 因为该引擎能够在注册阶段识别虚假域名并阻止对其进行访问。该解决方案使用创新型人工智能引擎、高级自然语言处理和改进的 URL 扫描功能自动检测潜在恶意威胁，并可阻止访问不同语言和国家（地区）中冒充的本地和全球品牌，捕获率比传统技术高出 40%。

在品牌网络钓鱼攻击中，犯罪分子试图使用类似于真实网站的域名或 URL 和网页设计来模仿知名品牌的官方网站。指向虚假网站的链接可通过电子邮件或文本消息发送给目标个人，并在 Web 浏览期间重定向用户，或可能从欺诈性移动应用进行触发。虚假网站通常包含一个表单，以窃取用户凭证、付款明细或其他个人信息。

Microsoft 网络钓鱼电子邮件 – 异常活动示例

2023 年第二季度，一场网络钓鱼攻击活动将目标锁定 Microsoft 帐户持有人，向其发送大量提示异常登录活动的欺诈性消息。

该攻击活动发送的欺骗性电子邮件声称来自公司内部，发件人名称为“Microsoft on <company domain>”。这些网络钓鱼电子邮件的主题是“回复：Microsoft 帐户异常登录活动”，他们声称在收件人的 Microsoft 帐户上检测到异常登录活动，并在邮件中提供了异常登录的详细信息，例如国家/地区、IP 地址、日期、平台和浏览器。

为了解决这个所谓的安全问题，上述网络钓鱼邮件要求收件人点击提供的链接（指向与 Microsoft 无关的恶意网站）来查看他们最近的登录活动。该攻击活动中使用的 URL（例如 hxxps://online.canpiagn[.]best/configurators.html 和 hxxps://bafybeigbh2hhq6giieo6pnozs6oi3n7x57wn5arfvgtl2hf2zuf65y6z7y[.]ipfs[.]dweb[.]）目前无法访问，但可以推测其目的是窃取用户凭证或个人信息，或者将恶意内容下载到用户设备上。

LinkedIn 网络钓鱼电子邮件 – 帐户窃取示例

2023 年第二季度，我们发现了一封仿冒专业社交平台 LinkedIn 的网络钓鱼电子邮件（图 1）。这封电子邮件谎称来自“LinkedIn”，主题为“修订 6 月采购订单 - 订货单”，意在通过伪装成报告来欺骗收件人点击恶意链接。邮件中的网络钓鱼链接（已失效）指向一个可疑网站：hxxps://amazonlbb[.]ajimport[.]com[.]br/china/newcodingLinkedin/index.html（图 2）。点击该链接便会招致帐户被盗及触发其他恶意活动的风险。

恶意电子邮件“修订 6 月采购订单 - 订货单”。

恶意网站 hxxps://amazonlbb[.]ajimport[.]com[.]br/china/newcodingLinkedin/index.html

沃尔玛网络钓鱼电子邮件 - 虚假礼品卡优惠

2023 年第二季度，我们发现了一起冒充零售公司沃尔玛的网络钓鱼电子邮件攻击活动。电子邮件的发件地址为“info@chatpood[.]info”，主题是“沃尔玛电子礼品卡等您来拿”。这封欺诈性电子邮件的目的是通过奖励活动诱骗收件人，即声称向他们提供价值 500 美元的沃尔玛礼品卡，以感谢其一如既往的支持。该网络钓鱼电子邮件包含恶意链接：hxxps://cloud[.]appsmtpmailers[.]com。点击上述链接后，用户会被重定向到欺诈性网页，然后被提示提供其个人信息，如姓名和电子邮件地址，以验证活动资格。目前，该网站已停用。