网络钓鱼攻击仍然是黑客钟爱的攻击方式之一，近期国外媒体又报道一起基于电子邮件的网络钓鱼攻击，位于德国、英国、荷兰，香港和新加坡等地的多家公司，至少156位高管的企业电子邮件帐户被入侵，涉及金融、房地产、法律等领域企业，其中包括20多个Office365的高管人员。

此次新型网络攻击活动被称为“PerSwaysion”，根据Group-IB威胁情报团队发布的分析报告，此次攻击是利用微软文件共享服务（包括Sway、SharePoint、 OneNote等）发起的针对性很强的网络钓鱼攻击。目前成功的PerSwaysion攻击都使用了基于Vue.js JavaScript框架的网络钓鱼套件而且采用成熟技术堆栈，比如：使用Google appspot来仿冒网络应用程序服务器，使用Cloudflare作为数据后端服务器。

“PerSwaysion”攻击以窃取Microsoft Office 365用户凭据为主要目的，首先发送一份欺诈性电子邮件诱骗受害者，邮件带有一个非恶意的PDF附件，该附件包含一个“立即阅读”链接，链接到Microsoft Sway托管的文件。下一步，Microsoft Sway服务上的特制演示页面还包含另一个“立即阅读”链接，该链接将用户重定向到实际的网络钓鱼站点，等待受害者输入其电子邮件帐户凭据或其他机密信息。研究人员称：“攻击者选择合法的基于云的内容共享服务，例如Microsoft Sway，Microsoft SharePoint和OneNote，以避免流量监测。”

一旦用户凭据被盗，攻击者会立即进行下一步，通过IMAP API从服务器下载受害者的电子邮件数据，然后冒充这些受害者的身份，锁定近期与受害者邮件通信并同样担任公司重要角色的人员进行下一步攻击。“他们会使用当前受害者的全名、电子邮件地址和法定公司名称来生成新的网络钓鱼PDF文件。”尽管没有明确的证据表明攻击者如何使用已泄露的公司数据，但研究人员认为攻击者可能会大量出售给其他金融诈骗者，以进行传统的金钱诈骗。

针对公司高管和重要职务人员的定向钓鱼邮件攻击，已经成为商业电子邮件欺诈 (BEC) 攻击的主要方向。企业电子邮件系统应加强建设电子邮件安全与信任机制，密信加密邮件客户端为企业电子邮件系统提供全程安全加密和可信身份展示，采用数字证书加密电子邮件，即使用户凭据泄露，没有证书私钥也无法解密邮件内容。

采用数字证书签名电子邮件，每封电子邮件都展示已认证的可信身份信息，对于企业高管或重要职务人员，还可通过高级别V4身份认证展示单位及职务等认证信息，防止钓鱼邮件仿冒高管身份。

消息来源：thehackernews，沃通翻译整理

最新资讯

沃通SSL证书OCSP本地化部署，为HTTPS加密提速

20%的恶意网站未列入黑名单，用户如何防范？

警惕东京奥运会门票虚假倒卖网站，用EV SSL证书反钓鱼

2019年电子邮件攻击造成17亿美元损失

Poloniex加密货币交换泄露数据，建议数据安全从SSL证书做起

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书