网络犯罪分子正在利用活动管理和票务网站Eventbrite向潜在目标发送钓鱼邮件。
“自7月以来,这些攻击每周增长25%,总增长率达到了900%,”Perception Point的研究人员说。
钓鱼邮件伪装成合法公司
这些钓鱼邮件看起来像是从Eventbrite发出的,因为它们确实是,但邮件内容被精心制作,冒充了如NLB集团(金融机构)、EnergyAustralia(能源公司)、DHL(快递服务)、卡塔尔邮政(邮政服务)等合法企业。
通过Eventbrite平台发送的钓鱼邮件示例(来源:Perception Point)
“每封邮件都敦促收件人采取行动:重置您的PIN码;验证您的送货地址;支付未付账单;支付包裹费用。这些有时间限制的请求是威胁行为者用来促使目标迅速行动的社会工程学手段,”研究人员指出。
这些邮件还以多种语言发送:英语、德语、丹麦语、斯洛文尼亚语。“通过根据语言和品牌个性化邮件,这场活动不仅具有全球性,而且高度适应性强,能够逃避传统安全措施的检测,”研究人员指出。
遵循提供的链接的收件人会被带到看似合法网站的仿冒网站,并被要求输入个人信息、电话号码、信用卡详情、登录凭证等。
网络犯罪分子如何滥用Eventbrite发送钓鱼邮件
在Eventbrite上,任何人都可以注册账户并创建新活动。诈骗者注册并假装成信誉良好的品牌创建虚假活动,并在活动描述或附件中嵌入钓鱼链接。
这样,他们就可以通过Eventbrite平台发送邮件。
“攻击者可以输入任何电子邮件地址;这相当于发送邀请——电子邮件地址是否注册了活动无关紧要。这些邮件是针对性的,不是随机的。收件人也不必是Eventbrite用户就能收到邮件,”研究人员告诉Help Net Security。
“根据Eventbrite的规定,用户每天可以发送多达250封促销邮件。如果他们有PRO套餐,那么每天的邮件数量在2000到10000封之间。每天创建多个账户的攻击者可以大幅增加这个范围:例如,拥有四个免费账户的攻击者每天可能发送1000封钓鱼邮件。尽管可能性较小,但如果攻击者利用该服务的付费Pro计划,他们可以根据计划等级进一步提高其影响力。不过,我们不知道他们是否在这么做。”
如果邮件骗过了电子邮件垃圾邮件过滤器——由于是通过Eventbrite的验证域名和IP地址发送的——它们就会出现在用户的收件箱中,显示的发件人电子邮件地址为noreply@events.eventbrite.com。
虽然一些用户可能会注意到这个电子邮件地址与邮件内容之间的不一致,但其他人可能根本不会注意到,并可能落入所采用的社会工程学手段。
我们已经联系了Eventbrite,询问他们正在采取哪些措施来防止其服务的滥用,并在收到回复时与大家分享。