在最新的报告中,Palo Alto Networks 的 Unit 42 揭示了一种隐蔽的钓鱼技术,这种技术继续绕过人类感知和自动化防御:同形异字攻击。这些攻击利用拉丁字母与非拉丁字母(如西里尔字母和希腊字母)之间的视觉相似性,制作看似完全合法的邮件,但隐藏着微妙的操控,欺骗眼睛并逃避检测。
对人眼而言,“Homograph”和“Ηоmоgraph”之间没有区别。但实际上,后者包含了希腊字母和西里尔字母,而不是拉丁字母。例如,拉丁字母“H”被替换成希腊字母“Η”,而“o”则被西里尔字母“о”替换。
报告指出:“自动化防御系统在分析这个词时无法识别它为实际的词,因此可能会认为它是有效的,或者在分析过程中跳过了被操控的词。”
这些相似字符欺骗了人类和机器,创造出一种新的钓鱼邮件类型,能够绕过内容过滤,冒充可信实体,诱使用户与恶意内容互动。
Unit 42 的研究强调了三个成功使用同形异字技术的钓鱼攻击案例,涉及不同类型的邮件信息。
案例 1:Google Drive 文件共享钓鱼攻击
攻击者冒充一家跨国金融机构,通过 Google Drive 与目标共享文档。邮件的显示名称通过同形异字字符模仿该公司,尽管实际的发件人域名与之无关。内置的过滤器未能标记该邮件为钓鱼邮件。
该文档包含一个“VERIFY”按钮,指向 messageconnection.blob.core[.]windows[.]net —— 这是一个被认为用于凭证窃取或恶意软件传播的域名。
案例研究 2:虚假电子签名平台
在另一个场景中,攻击者假装发送电子文档供签署。邮件主题和显示名称中的词汇——如“Сonfidеntiаl”、“Տtаtеmеnt”和“Ꭲiꮯkеt”——都包含了具有欺骗性的字符。
这些邮件伪装成 DocuSign,点击“SIGN DOCUMENTS”按钮会触发一系列重定向,最终指向恶意域名,如 kig.skyvaulyt[.]ru。
这个复杂的骗局还包括一个虚假的验证页面和定制的邮件内容,其中包含目标的姓名、公司品牌和真实的 CAPTCHA 挑战,使得即使是警觉的用户也难以察觉。
案例研究 3:Spotify 账单伪装
第三个案例模仿了 Spotify,邮件敦促用户更新他们的支付方式。显示名称“Sρօtifу”中包含多个非拉丁字符,误导用户认为发件人是合法的。
攻击者使用了一个受信任的 URL 缩短服务,掩盖了链接的真实意图,该链接很可能引导用户到一个用于凭证窃取的钓鱼网站。
Unit 42 的报告警告称,人工智能正在加剧这一威胁,攻击者能够快速生成看似真实的邮件。当与同形异字技术结合时,这些邮件几乎无法与合法邮件区分开来。
“新人工智能模型的广泛应用使得攻击者能够创建更具说服力和个性化的邮件,”报告总结道。
发表评论
您还未登录,请先登录。
登录