详细内容或原文请订阅后点击阅览
家得宝万圣节网络钓鱼给用户带来的是恐惧,而不是免费赠品
嘘!家得宝万圣节“赠品”不是一种款待,而是一种网络钓鱼伎俩。虚假链接、跟踪像素和受损网站才是真正的奖品。
来源:Malwarebytes Labs 博客我们及时收到了一封假装来自 Home Depot 的网络钓鱼电子邮件。它声称我们赢得了一辆大猩猩车自卸车(对于不熟悉的人来说,这是一种四轮独轮车),并说只需点击一下即可。
事实并非如此。
电子邮件中的整个图像都是可点击的,并且下面隐藏着很多惊喜。
发件人:
发件人电子邮件的域 (yula[.]org) 与 Home Depot 和收件人均无关。
yula[.]org
yula[.]org 域属于洛杉矶的一所高中。电子邮件地址或服务器可能已被泄露。我们已将此事件通知他们。
隐藏字符:
在主图像下方,我们发现一个块充满了不必要的 Unicode 空格和控制字符(如 =E2=80=8C、=C3=82),可能试图混淆其实际内容并逃避垃圾邮件过滤器。使用零宽度和控制 Unicode 字符的目的是分解字符串以混淆自动网络钓鱼或垃圾邮件过滤器,同时对人类读者来说是不可见的。
=E2=80=8C
=C3=82
重复使用合法内容:
在图像下方,我们发现了一条订单确认信息,它似乎是交易卡存储盒的合法交易消息。
该消息似乎是从一条链条中取出的(有一条回复询问“预计到达日期是什么时候?”),并包含来自 sales@bcwsupplies[.]com(一家真正的卡片用品供应商)的嵌入式非常旧的订单确认信息(自 2017 年起)。
sales@bcwsupplies[.]com
因此,网络钓鱼者正在重用良性的历史内容(可能从某个地方获取)来为电子邮件提供合法性并帮助其绕过电子邮件过滤器。许多垃圾邮件和网络钓鱼过滤器(网关和客户端)都会对看起来像是现有有效对话线程或持续业务关系一部分的电子邮件给予更高的信任分数。这是因为真正的回复链很少是垃圾邮件或网络钓鱼。
跟踪像素:
JYEUPPYOXOJNLZRWMXQPCSZWQUFK.soundestlink[.]com
soundestlink[.]com
循迹而行
黄金街道[.]co.uk
bluestarguide[.]com
outsourcedserver[.]com
VPN