網路安全研究人員發現,駭客正透過冒充知名品牌的釣魚活動,誘騙目標撥打由威脅行為者控制的電話號碼。這種攻擊手法稱為「電話導向攻擊投遞」(TOAD)或回撥式釣魚,已成為資安威脅的新興趨勢。
微軟與DocuSign淪為最大冒充目標
Cisco Talos 研究員 Omid Mirzaei 在分析報告中指出,2025年5月5日至6月5日期間,在帶有PDF附件的釣魚郵件中,微軟和DocuSign是遭到最頻繁冒充的品牌。此外,NortonLifeLock、PayPal和Geek Squad也經常在TOAD攻擊中被冒充。
這些攻擊活動利用民眾對知名品牌的信任來發動惡意行動。攻擊者通常透過PDF附件冒充Adobe和微軟等合法品牌,誘導受害者掃描惡意QR Code以連結到偽造的微軟登入頁面,或點擊連結重新導向至冒充Dropbox等服務的釣魚頁面。
研究發現,QR Code釣魚郵件的攻擊手法已變得更加精密。
駭客利用PDF註解功能,將惡意URL嵌入便利貼、評論或表單欄位中,同時讓QR Code連結至真實網頁,藉此營造郵件的可信度。
攻擊手法走向專業化
在TOAD攻擊中,受害者會被誘騙撥打電話號碼,攻擊者聲稱需要解決問題或確認交易。在通話過程中,攻擊者冒充合法的客服代表,誘騙受害者透露敏感資訊或在設備上安裝惡意軟體。
大多數TOAD攻擊都會營造緊急感,但其成功與否往往取決於攻擊者模仿真實客服流程的能力。攻擊者會使用腳本化的客服中心戰術、播放保留音樂,甚至偽造來電顯示,讓整個過程看起來更加真實。
這種技術已成為威脅行為者的熱門手法,用於在Android設備上安裝銀行木馬程式,以及在受害者的電腦上安裝遠端存取程式以獲得持續存取權限。2025年5月,美國聯邦調查局(FBI)發出警告,指出名為Luna Moth的財務動機集團正利用此類攻擊手法,冒充IT部門人員來滲透目標網路。
VoIP技術增加攻擊匿名性
Omid Mirzaei 表示,攻擊者利用人們對電話通話的信任,以及認為電話是安全溝通方式的既定印象。此外,電話通話期間的即時互動讓攻擊者能夠運用社交工程手法,操控受害者的情緒和反應。
Cisco Talos發現,大多數威脅行為者都使用網路電話(VoIP)號碼來保持匿名性並增加追蹤難度。有些號碼甚至會連續重複使用長達四天,讓攻擊者能夠使用同一個號碼執行多階段的社交工程攻擊。
微軟365 Direct Send功能遭到濫用
近期的釣魚活動也開始濫用微軟365(M365)的Direct Send合法功能,藉此偽造內部用戶身分並投遞釣魚郵件,且無需入侵任何帳戶。根據Varonis的資料,自2025年5月以來,這種新穎的攻擊手法已經針對超過70個組織發動攻擊。
這些偽造的訊息不僅看起來像是來自受害組織內部,還利用了智慧主機地址具有可預測模式的特性(「
<tenant_name>.mail.protection.outlook.com」),在無需驗證的情況下發送釣魚郵件。
AI工具成為新的攻擊媒介
最新研究顯示,當用戶詢問大型語言模型(LLM)關於50個不同品牌的登入位置時,有三分之二的機率模型會返回正確的網址,但在其餘三分之一的結果中,近30%的域名是未註冊、停放或處於非活躍狀態,很容易被攻擊者接管。另有5%的結果會將用戶導向完全無關的企業網站。
這意味著用戶僅僅透過詢問AI聊天機器人登入位置,就可能被導向虛假網站。當威脅行為者控制了這些未註冊或無關的域名時,就為品牌冒充和釣魚攻擊開啟了大門。
威脅行為者還透過名為Hacklink的非法市場服務,在知名網站(如.gov或.edu域名)中注入JavaScript或HTML程式碼,目的是影響搜尋引擎演算法,讓釣魚網站在搜尋結果中獲得更高的排名。
安全研究員Andrew Sebborn表示,Hacklink服務讓網路犯罪分子可以購買數千個被入侵網站的存取權限,然後在這些網站中植入惡意程式碼來操控搜尋引擎演算法。詐騙者使用Hacklink的控制面板,將通往釣魚或非法網站的連結插入合法但已被入侵的域名原始碼中。
防護建議
面對日益複雜的釣魚攻擊手法,資安專家建議採取以下防護措施:
- 提高警覺性:對於任何要求撥打電話號碼的郵件都應保持懷疑態度,特別是那些宣稱有緊急情況或需要立即行動的訊息。
- 驗證來源:透過官方管道確認任何緊急通知或異常活動通知的真實性,切勿直接使用郵件中提供的聯絡資訊。
- 技術防護:部署具備品牌冒充偵測功能的引擎,強化電子郵件安全防護系統,攔截可疑的釣魚郵件。
- 員工訓練:定期舉辦社交工程攻擊的認知訓練,提升員工對各種釣魚手法的識別能力。
- 多重驗證:建立嚴格的驗證流程,避免在單一通話中提供敏感資訊,對於涉及金錢或敏感資料的操作要求多重確認。
本文轉載自thehackernews。