假冒行事曆邀請移至 Microsoft Outlook

假日曆邀請一直是 Gmail 多年來的問題。儘管其他日曆服務也可能出現這種情況,但我並沒有見過或聽說過很多。Gmail 一直是這些假日曆邀請的主要受害者。

不過,我最近收到了詐騙的 Microsoft Outlook 日曆邀請,其他 Outlook 使用者也越來越多在抱怨。之前主要發生在 Gmail 的情況,現在也轉移到了 Outlook 上。

我是一個忙碌的人。平均來說,我每天大概會收到十幾個日曆邀請,不過我對於在我的 Outlook 日曆中看到以下這個約會感到驚訝(見下方):

這一點在星期天特別明顯,因為那天我有最少的約會。日曆邀請的標題「最後通知:需要確認薪資」從一開始看起來就非常可疑。「最後通知」這個部分符合大部分釣魚詐騙者常用的假急迫感。

我去我的信箱找到了相關的電子郵件(如下所示)。

這根本就是假的,毫無疑問。首先,Banneret Computer Security 是我幾十年前已經關閉的公司。不過,我仍然在用那個公司當初取得的網域名稱作為我的個人電子郵件地址。我一直懶得去更新。不要去修理那些沒問題的東西。所以,這些詐騙者進行了一種 Whois 網域查詢來獲取我的資訊,然後發送給我一個詐騙的日曆請求。

他們使用這個網域和公司名稱來建立位置及檔案附件名稱。

這封郵件的來源地址域名 orimar.com.mx 通過(也有未通過)DMARC、SPF 和 DKIM 的檢查(如下所示)。

DMARC 是一套開放標準(DMARC、SPF、DKIM),旨在防止發信者電子郵件域名的造假。

如果你想要了解更多有關 DMARC 及 DMARC 檢查的一般資訊,可以參考我的 LinkedIn 文章,在這裡

這裡有一個免費的1小時網路研討會,內容是關於DMARC的

我確實看到有一個 SPF 驗證失敗,這意味著這封電子郵件在通過其中一個 SMTP 中繼伺服器時,未能通過 SPF 檢查(總共涉及了 8 個電子郵件中繼/伺服器)來到我的收件箱。

當你轉寄一封電子郵件時,所有之前的標頭資訊都會被移除,但如果是經過中介的SMTP中繼(例如,一台防毒電子郵件伺服器),那麼在每個中介站點都可以對DMARC、SPF和DKIM進行檢查。這些檢查及其狀態可能會出現在電子郵件的訊息標頭中,但之前的DMARC檢查不會被後續的SMTP伺服器讀取或評估。每台伺服器的DMARC檢查都是獨立的。最後接收的電子郵件伺服器會進行自己的DMARC、SPF和DKIM檢查,如果電子郵件通過這些檢查,那麼該電子郵件就會被給予良好的健康狀態,這實在令人遺憾。

我將郵件的標頭放入 Mxlookup 的郵件標頭分析器 以便獲取更多資訊。它顯示了以下關於該郵件的 DMARC 狀態(如下所示):

這則訊息通過了 DKIM 認證,但 DKIM 對齊失敗。失敗的 DMARC 檢查是非常重要的。DKIM 認證意味著該訊息是由一個有效的 DKIM 伺服器簽署並發送,並且擁有有效的 DKIM 證書和金鑰,而且在傳送過程中訊息沒有被修改。這是好事。不過 DKIM 對齊失敗意味著簽署和處理該訊息的 DKIM 伺服器,並沒有匹配訊息中的發件者聲稱的電子郵件域名,這個域名顯示在訊息的 FROM 地址欄位中。

DKIM 對齊失敗可能有很多原因,包括設定錯誤。不過,任何 DKIM 失敗必須視為完全失敗,不能讓自己冒險。我見過許多有效且合法的郵件也出現這個相同的問題(例如,DKIM 認證通過但 DKIM 對齊失敗),但你仍然不能置身事外。

這篇 是關於 DKIM 對齊的精彩文章。

我注意到在某個時刻,這封郵件的主旨是不同的,內容是「Banneret computer security 職員加薪與長期策略調整。」這真的很奇怪。我以前從來沒見過這種情況。挺有趣的。

這封電子郵件來自 orimar.com.mx 的域名。Mx 是墨西哥的域名國家代碼。但是我找不到任何關於這個域名的資訊。不幸的是,這個域名已經被我的網路服務提供商封鎖了。我試著使用第二個來源,但它也同樣封鎖了這個域名。嗯,這對於保護用途來說是件好事,但對於取證調查就不太妙了。

我打開了附加的 PDF 檔案(在沒有安全可靠的地方不要這樣做)並看到了這個:

我決定掃描這個QR碼,結果導引我到以下的網域:

當時被解碼成這個:

前往 https://illustrator.fretreacro.dev – 這是一個簡單的家居清潔網站,但大部分功能似乎並未啟用。這個 .dev 領域名告訴我這可能是個開發伺服器。這個網站很可能只是某個人為了展示他們能做到的簡單電子商務網站而設置的假網站。開發伺服器通常安全性較差,這大概就是駭客為什麼會接管它進行詐騙的原因。

我遇到了一個 CAPTCHA(如下所示):

現在騙子使用的 CAPTCHA 非常普遍。他們想確認你是人類(以及一個潛在的真實受害者),而不是一些使用自動化工具來檢查、探索和移除詐騙內容的防惡意軟體過濾器供應商。

我點擊了 CAPTCHA,然後我看到了這個:

啊,他們正在嘗試收集我的 Microsoft 365 帳號登入資訊。這種事情很常見。

如何防守

以下是您可以採取的措施,以防止這些不受歡迎的行事曆邀請在您的 Outlook 行事曆中彈出,而無需事先批准。

  1. 開啟 Outlook.com 或 Microsoft Outlook 應用程式,然後前往設定(齒輪圖示)。
  2. 選擇查看所有 Outlook 設定。
  3. 前往日曆 > 從電子郵件新增事件。
  4. 透過選擇「不在電子郵件或我的日曆中顯示事件摘要」來關閉自動將電子郵件中的事件新增到我的日曆的選項。
  5. 儲存你的更改。

我個人喜歡在行事曆上看到最近收到的日曆邀請,這樣可以讓我知道有人發給我邀請來查看。只要你不被騙,讓一個惡意的邀請留在你的行事曆上幾乎沒有什麼害處。不過如果你擔心會忘記,把詐騙邀請當成真的邀請,可以按照上面的說明,停用自動添加的選項。

現在,我得擔心假冒的 Gmail 和 Outlook 邀請。

文章來源: Fake Calendar Invitations Move to Microsoft Outlook

You cannot copy content of this page