資安業者 Forcepoint 揭露一起新型釣魚攻擊,
駭客透過多階段混淆策略誘騙企業員工交出 Dropbox 登入憑證。這起攻擊的最大特點是全程不使用惡意程式,僅靠社交工程手法即可得逞。
攻擊流程環環相扣
Forcepoint X-Labs 安全研究員 Prashant Kumar 分析指出,攻擊者會寄送看似正常的商業郵件給目標企業員工,通常要求查看「採購訂單」或「招標文件」。郵件本身不含惡意內容,僅附帶一份 PDF 檔案。
這份 PDF 內嵌一個超連結,點擊後會導向託管在 Vercel 雲端服務上的第二份 PDF 文件。第二份文件呈現模糊的發票或訂單樣式,上方覆蓋一個寫著「您的 PDF 已就緒」的超連結按鈕,引導受害者點擊進入下一階段。
第二個連結導向的 Dropbox 登入頁面才是真正陷阱。
該頁面要求使用者以公司電子郵件帳號登入查看文件,並聲稱登入後會自動回覆寄件者。當使用者輸入帳密後,網站會刻意延遲 5 秒才顯示「帳號或密碼錯誤」訊息,藉此模擬真實的登入失敗情境。
技術細節值得關注
Forcepoint 資深安全研究員 Hassan Faizan 指出,這起攻擊的有效性在於「乾淨」策略。
PDF 檔案不含惡意程式,因此更容易通過電子郵件安全檢查並送達收件匣。傳統惡意軟體往往會觸發警報或遭到攔截,但這種專注於竊取憑證的手法大幅提高了郵件送達率與可信度。
攻擊者運用多項技術強化可信度。首先,攻擊郵件來自內部電子郵件地址(可能是偽造或已遭入侵的帳號),因此能通過 SPF、DKIM、DMARC 等郵件驗證機制。其次,中繼 PDF 託管在 Vercel 等合法雲端平台,URL 看起來正常,不會引起懷疑。
在 PDF 技術層面,
攻擊者使用 AcroForms 與 FlateDecode 等設定,將可點擊按鈕隱藏在看似正常的辦公文件中。由於使用者普遍信任 PDF 格式,這種手法特別容易得逞。
竊取的資料流向何處
假冒登入頁面背後的腳本不僅竊取帳號密碼,還會收集受害者的 IP 位址、地理位置(包括城市與國家)、裝置類型等系統資訊。這些資料會透過硬編碼的方式,即時傳送至攻擊者控制的 Telegram 機器人。
Kumar 在報告中警告,這些憑證可能用於帳號接管、存取內部系統或進行後續詐欺攻擊。由於 Dropbox 常用於企業檔案分享,遭竊帳號可能讓攻擊者取得敏感商業資料。
防護建議
雖然 Forcepoint 產品已更新防護機制,但一般企業仍需提高警覺。資安專家建議採取以下措施:
- 即使寄件者看似可信,避免開啟來源不明的 PDF 附件
- 收到可疑郵件時,透過電話等其他管道向寄件者確認真偽
- 遇到要求輸入企業帳密的情況時,應先停下來審慎評估
- 留意要求「緊急處理」的異常登入請求
- 定期進行員工資安意識訓練,提升對釣魚攻擊的辨識能力
這起攻擊顯示,精心設計的社交工程手法即使不使用惡意程式,仍可能繞過多層防護。企業不僅需要部署技術防護措施,更需培養員工的資安意識,才能有效降低風險。
本文轉載自 DarkReading、Hackread。