秒送号(miaosong.cn)自媒体平台11月18日消息,这是我们所见过的最好的网络钓鱼电子邮件之一……不是。
网络钓鱼仍然是诈骗者最受欢迎的攻击选择之一。网络钓鱼电子邮件旨在冒充公司或高管,以诱骗用户上交敏感信息(通常是用户名和密码),以便诈骗者可以登录在线服务并窃取金钱或数据。但是,检测和防止网络钓鱼不仅是用户的问题,而且还是公司的问题,尤其是当公司没有采取基本的网络安全预防措施和最佳实践来阻止欺诈者进入用户的收件箱时。
输入人力资源巨头TriNet,本周成为如何发给客户真正电子邮件的招贴子,它如何在不经意间变得如此可疑。
美国各地依靠TriNet来访问外包人力资源(如医疗保健福利和工作场所政策)的公司的远程员工本周收到一封电子邮件,以使员工“及时了解最新信息并及时了解最新信息”。影响您的劳工和就业法。”
一家位于洛杉矶的健康初创公司的员工通过TriNet管理员工的福利,他们的员工都同时收到了电子邮件。但是,一位员工并不确定这是一封真实的电子邮件,而是将其及其源代码转发给TechCrunch。
TriNet是美国最大的外包人力资源提供商之一,主要面向可能没有足够资金聘请专门的人力资源人员的中小型企业。每年的这个时候对于依靠TriNet的公司来说都是至关重要的,因为健康保险计划正进入公开招生阶段,而税收旺季也只有几周的路程。考虑到福利变更,员工在年底收到大量与TriNet相关的电子邮件的情况并不罕见。
但是此电子邮件看起来不正确。实际上,当我们查看电子邮件的内容时,有关它的所有内容看起来都是可疑的。
这是远程工作人员收到的电子邮件。TriNet表示,“错误地”使用了电子邮件中以Imgur托管的图像。(图片:TechCrunch /提供)
我们查看了电子邮件的源代码,包括其标题。这些电子邮件标头就像一个信封,它们说出电子邮件的来源,发给谁,如何发送,以及在此过程中是否存在任何复杂性,例如标记为垃圾邮件。
危险信号比我们想象的还要多。
问题中的主要问题是电子邮件中的TriNet徽标托管在Imgur(免费的图片托管和模因共享网站)上,而不是公司自己的网站上。这是网络钓鱼攻击者常用的技术-他们使用Imgur托管在垃圾邮件中使用的图像,以避免被检测到。自从图片在7月份上传以来,该徽标被浏览了超过70,000次,直到我们与TriNet接触为止。而且,尽管电子邮件中包含指向TriNet网站的链接,但加载的页面具有完全不同的域,上面没有任何内容,这表明它是除徽标之外的真正的TriNet授权站点,如果它是网络钓鱼站点,则可以容易被欺骗。
由于担心诈骗者以某种方式向潜在的TriNet客户发送了网络钓鱼电子邮件,因此我们与安全研究机构Condition:Black的创始人安全研究员John Wethington进行了联系,以检查电子邮件。
事实证明,他和我们一样确信该电子邮件可能是伪造的。
“作为黑客和自封为社会的工程师,我们经常认为发现网络钓鱼电子邮件很容易”,威辛顿说。“事实是很难。”
“当我们第一次检查电子邮件时,每个闹钟都会响起。我们对它的研究越深入,事情就变得越混乱。我们查看了域名记录,网站的源代码,甚至网页的哈希值,”他说。
他说,在我们联系TriNet之前,没有任何东西使我们“ 100%确信”该网站是真实的。
TriNet发言人Renee Brotherton向TechCrunch证实了该电子邮件活动是合法的,并且它使用第三方网站“提供了我们的合规性ePoster服务产品。她补充说:“您所引用的Imgur图像是Trinet徽标的图像,Poster Elite错误地指向了该徽标,此图像已被删除。”
TriNet的发言人说:“您引用的电子邮件已发送给所有未进入雇主实际工作场所的员工,以确保他们能够访问所需的通知。”
当到达时,Poster Elite还确认该电子邮件是合法的。
这不是网上诱骗网站,但肯定看起来像一个。图片:TechCrunch)
TriNet是怎么弄错的呢?错误的高潮使某些收到电子邮件的人担心自己的信息可能已被破坏。
“当公司以与骗子通信方式相似的方式与客户进行通信时,随着时间的流逝,它会削弱客户发现和关闭未来通信中安全威胁的能力,”黑客,社交工程师兼创始人Rachel Tobac说道。社会证明安全性。
Tobac指出了TriNet弄错地方的两个例子。首先,对于黑客来说,将欺骗性电子邮件发送给TriNet的员工很容易,因为TriNet的域名 DMARC政策没有得到执行。
其次,域名的不一致使用会使用户感到困惑。TriNet证实,它指出在电子邮件中的链接- posters.trinet.com到- eposterservice.com远程员工,它承载了公司的合规性的海报。TriNet认为转发域名就足够了,但相反,我们认为有人劫持了TriNet的域名设置-这种攻击正在增加,尽管主要是由国家行为者实施的。TriNet是一个巨大的目标-它存储了工人的福利,工资明细,税收信息等。我们假设最坏的情况。
Tobac说:“这类似于我们在银行欺诈电话通信中遇到的问题。” “垃圾邮件发送者打电话给银行客户,欺骗银行的号码,并冒充银行让客户在“听到银行在其帐户上发现欺诈行为之前,先提供帐户详细信息以’验证其帐户’-当然,这是一种攻击” ,“ 她说。
Tobac说:“当银行真正打电话来核实欺诈性交易时,这正好是合法电话的声音。”
Wethington指出,其他可疑指标是诈骗者在网络钓鱼攻击中使用的所有技术。posters.trinet.com电子邮件中使用的子域是在几周前才设置的,eposterservice.com它指向的域使用的HTTPS证书与TriNet或Poster Elite均未关联。
这些都指向一个总体问题。TriNet可能已经发出了一封合法电子邮件,但有关它的所有内容似乎都存在问题。
一方面,对收到的电子邮件保持警惕是一件好事。尽管它是逃避网络钓鱼攻击的猫捉老鼠游戏,但公司可以采取一些措施来主动保护自己和客户免受欺诈和网络钓鱼攻击。然而,TriNet通过不采用这些基本的安全措施使自己容易受到攻击,从而几乎在所有方面都失败了。
威辛顿说:“即使经过适当的培训,也很难区分优劣。如果有疑问,我建议您将其淘汰。”
