详细内容或原文请订阅后点击阅览
采购订单附件不是 PDF。这是对您密码的网络钓鱼
一个虚假的采购订单附件原来是一个网络钓鱼页面,旨在收集您的登录详细信息。
来源:Malwarebytes Labs 博客一个名为 New PO 500PCS.pdf.hTM 的附件冒充 PDF 格式的采购订单,结果却是完全不同的东西:一个凭证收集网页,它悄悄地将密码和 IP/位置数据直接发送到攻击者控制的 Telegram 机器人。
假设您从事应付账款、销售或运营工作。您的一天是源源不断的发票、采购订单和审批。像这样的电子邮件可能看起来只是您日常队列中的另一项邮件。
“亲爱的卖家
希望您收到此消息后一切顺利!
我有兴趣购买该产品,如果您能为我提供以下附件的报价,我将不胜感激:
数量:[f16940-500PCS]
任何具体规格或细节(如果适用)
另外,我想询问一下订单确认后预计的交货时间。请附上您通常的交货时间表和任何相关条款。
请告诉我总费用,包括任何适用的税费或费用,以及任何其他相关条款。
非常感谢您的帮助。我期待您的及时回复。”
立即跳出的是双文件扩展名。带有 .pdf.htm 等扩展名的附件是典型的网络钓鱼策略。这些文件通常伪装成文档 (PDF),但实际上是在浏览器中打开的 HTML 文件,并且可能包含恶意脚本或网络钓鱼表单。
但假设您没有注意到这一点。打开附件后会发生什么?
您会在模糊的背景前看到密码提示。收件人的电子邮件地址已填写。在后台,网络钓鱼脚本会获取一些环境详细信息(IP、地理位置和用户代理),并将它们与您填写的任何详细信息一起发送给攻击者。
在简短的“正在验证...”消息后,您会看到一个熟悉的错误:
这是一个心理技巧: