一个复杂的网络钓鱼活动利用被盗用的印第安纳州政府账户,通过 GovDelivery 分发欺诈性收费信息,通过极具说服力的虚假 TxTag 门户瞄准毫无戒心的用户。
印第安纳州技术办公室 (IOT) 和 Trustwave SpiderLabs 在出现似乎来自合法印第安纳州政府电子邮件地址的网络钓鱼电子邮件后都发布了警报。这些电子邮件谎称用户欠通行费,并包含重定向到旨在窃取敏感数据的恶意网络钓鱼网站的链接。
“印第安纳州技术办公室 (IOT) 注意到据称由州机构发送的有关收取通行费的欺诈信息。这些消息是骗局,用户不应点击任何链接,“IOT 警告说。“国家不会通过短信或电子邮件发送未付通行费通知。”
网络钓鱼活动使用泄露的 GovDelivery 发件人地址(例如 DLGF@public.govdelivery.com)来发送电子邮件,令人信服地模仿印第安纳州政府的通知,敦促收件人访问 TxTag 网站以解决所谓的未付通行费。
“TxTag 用户是最近由受感染的印第安纳州政府发件人通过 GovDelivery 发送的电子邮件网络钓鱼攻击的目标,”Trustwave SpiderLabs 解释说。
该攻击引诱用户访问一个虚假的 TxTag 域 (txtag-us.xyz/login),并提示受害者输入:
-
- 完整的联系信息
- 信用卡号
- 一次性密码 (OTP)
该网络钓鱼网站不仅收集了敏感数据,还利用 WebSocket 连接 (wss://txtag-us.xyz/sync-message) 实时跟踪会话,从而放大了其欺诈的可能性。
“网络钓鱼网站通过 POST 请求发送被盗信息,并维护 WebSocket 连接以进行实时会话跟踪,”Trustwave SpiderLabs 指出。
IOT 澄清说,该州与交付供应商的合同已于 2024 年 12 月 31 日结束,但关联账户并未停用。承包商的帐户后来被黑客入侵并用于发送恶意电子邮件。
幸运的是,IOT 确认没有国家系统在事件中受到损害。
使用 GovDelivery 等第三方平台的组织必须确保正确的卸载、访问控制和事件检测。
建议:
- 切勿点击未经请求的收费电子邮件或短信中的链接。
- 仅通过官方政府门户网站验证与收费相关的通知。
- 使用多重身份验证 (MFA) 并监控第三方访问账户。
- 监控可疑的网络连接,尤其是出站 WebSocket 会话。
发表评论
您还未登录,请先登录。
登录