
Capital One 客戶遭到憑證竊取的詐騙攻擊專案
KnowBe4 Threat Lab 已經識別出一個活躍的釣魚攻擊活動,假冒 Capital One。
這些攻擊是透過被入侵的電子郵件帳戶發送的,目的是幫助他們逃避本地安全防護及安全電子郵件網關(SEGs)基於聲譽的檢測。
一旦發送,這些攻擊會使用風格化的HTML範本及品牌偽裝來欺騙收件人,使他們以為這些訊息是合法的。
受害者會被引導至收集證書的網站。目前,這個活動顯示出相當大的基礎設施規模,跨越多個域名運作,並具備轉換域名的能力,以避免基於簽名的偵測。
這項活動也與我們最近觀察到的廣泛攻擊趨勢有關,包括攻擊者優先選擇入侵合法的電子郵件帳號,而不是建立假帳號;社會工程技巧變得更加精密和具體;以及舊有的偵測工具能識別的漏洞越來越大。
釣魚攻擊摘要
向量與類型: 電子郵件網路釣魚
主要技術: 品牌冒充、憑證收集網站
目標:全球組織
平台: Microsoft 365
繞過本地及SEG檢測:是
品牌假冒針對 Capitol One 客戶
雖然這些釣魚郵件是發送到較廣泛的名單上,但網路犯罪分子抱著機會主義的心態,希望 Capital One 的客戶能夠成為攻擊的受害者,並分享他們的在線銀行認證資訊。
這些網路釣魚電子郵件利用精美的模板,完美呈現 Capital One 品牌,旨在欺騙收件人相信這些是合法的郵件。攻擊的重點集中在安全性和 IT 主題上,例如詐騙和線上帳戶存取。這些主題可以透過製造恐慌和緊迫感來社交工程受害者(例如,如果他們相信自己是詐騙的受害者),並要求他們採取特定行動以消除任何影響。
然而,很遺憾的是,受害者並沒有被導向正規的 Capital One 服務,而是被轉向了搜集憑證的網站。
範例 1:釣魚郵件作為 Capital One 證件收集活動的一部分,促使使用者在潛在詐騙嘗試後恢復他們的帳戶。報導來源:PhishER。
範例 2:針對安全性的釣魚電子郵件,作為 Capital One 賬號竊取活動的一部分,促使使用者解鎖他們的帳戶。此資訊由 PhishER 報導。
範例 3:作為 Capital One 账密竊取活動的一部分發送的釣魚郵件,要求用戶確認或拒絕可疑的購買行為。由 PhishER 報告。
我們團隊觀察到的攻擊主要是來自教育部門被入侵的帳戶。這些帳戶可以連結到我們在今年早些時候報導的針對學校的身份證明收集活動。使用被入侵的帳戶有助於攻擊者建立發送者的可信度,並逃避基於聲譽的檢測,這也讓SEGs和原生安全防護措施難以識別。
我們分析的攻擊中使用的網址是透過X(以前的Twitter)合法的網址縮短服務進行縮短的,這樣做讓接收者無法看出最終的目的地。
這些攻擊中觀察到的安全主題行例子
- “通知:因為安全問題,帳戶存取受到限制”
- “您的網路帳戶已暫時停用”
- “您的 Capital One 卡片付款正在審核中”
- “您的帳戶存取權限已恢復”
- “卡片暫時鎖定 – 偵測到可疑購買”
技術手段來竊取憑證
受害者被引導到偽裝成 Capital One 的釣魚網站,目的是盜取他們的網路銀行帳號密碼。
透過分析這些網頁,我們的團隊發現網路犯罪分子正在使用域名分離技術來增強他們的營運安全性。被盜用的憑證是透過與釣魚網站完全不同的基礎設施傳送的。
防範高級網路釣魚生態系統的攻擊
這個活動展示了許多網路犯罪者採用的戰術、技術與流程(TTPs),以提高其釣魚攻擊的送達率和整體「成功」率。
特別是,利用在早期活動中收集到的受損合法帳戶,顯示出網路安全生態系統日益精緻化的趨勢。最終,當一個攻擊結束後,另一個攻擊便會開始 — 組織們必須緊急打破這個連鎖反應。
此外,我們也可以看到 社會工程所施加的壓力,通常目標對象會非常自然地擔心他們的銀行帳戶和身份安全。一般來說,隨著 GenAI 的興起,攻擊手法的複雜性也整體增加,特別是社會工程方面。只需簡短的提示和按下按鈕,攻擊者就能生成高度針對性的攻擊,並在其中嵌入心理上的“技巧”,例如產生緊迫感或恐懼感。
最後,這次攻擊顯示,藉由正確的戰術、技術與程序(TTPs),舊有的偵測方式可以被繞過(例如使用被入侵的合法電子郵件地址發送攻擊)。這是有道理的:隨著基於簽名和聲譽的偵測方法的廣泛應用,每個攻擊者都知道他們需要智勝這些機制,以提高其釣魚郵件的送達率。
隨著威脅的複雜度持續增加,這裡有三個關鍵考量,可以用來偵測並預防這些進階的釣魚攻擊:
- 增強電子郵件安全性:這項活動展示了網路犯罪分子如何使用技術手段來規避傳統的基於簽名和基於聲譽的安全防護,而這些防護通常存在於安全電子郵件閘道(SEG)和原生安全系統中。事實上,鑑於這些系統的廣泛使用,對網路犯罪分子來說,繞過這些安全措施簡直就是「經營成本」的一部分。因此,組織應該實施增強型雲端電子郵件安全,利用AI驅動的檢測機制來中和更廣泛的威脅。
持續的微型訓練在宏觀層面上產生結果:無論是透過 基於情境的標語和提示 在電子郵件中,還是透過 AI Agents 進行持續教學,人們需要他們的資安平台提供個性化的即時介入和指導,幫助他們不斷做出正確的安全決策。這種方式能在長期內降低整體組織的人為風險。


