釣魚攻擊深入分析:歐盟相關調查平台在精密的憑證竊取行動中遭到利用

在2025年5月5日至5月7日期間,KnowBe4 Threat Lab 偵測到一個來自於合法服務「EUSurvey」所創建帳號的釣魚行動。

儘管這是一場以聚焦為主的小規模活動,相較於團隊識別的其他活動,但它運用了幾種值得強調的先進技術。

這次攻擊展示了如何偽裝成官方機構(例如歐盟)的釣魚電子郵件可以製造出收件者的錯誤信任感。這種被認為是合法的情況不僅降低了收件者的警覺性,還增加了互動的可能性。

EUSurvey 攻擊概述
這些活動中的所有攻擊皆由 KnowBe4 Defend 識別並中和,並由我們的威脅實驗室團隊進行分析。 

向量與類型:電子郵件釣魚
主要技術:社交工程、變形超連結和有效載荷走私 
目標:全球
平台:Microsoft 365
繞過原生與SEG檢測:

EUSurvey是一個合法的平台,允許歐盟及非歐盟機構輕鬆創建和自訂問卷。在這次攻擊中,攻擊者在一封問卷通知電子郵件中嵌入了惡意的負載。因為該郵件是來自一個合法的域名,所以它能夠繞過標準的電子郵件認證協議,例如SPF、DKIM和DMARC,具體說明如下。

透過多形態的超連結來混淆有效載荷,收件人將被引導至一個憑證竊取網站,攻擊者在此試圖竊取他們的登入憑證,進而獲得未經授權的存取權限,以訪問敏感系統或數據。

EUSurvey 網路釣魚攻擊範例:一封被分成兩半的釣魚郵件

上半段:惡意多形態有效載荷 
如前所述,網路犯罪分子在 EUSurvey 上創建了一個帳號,這使得他們能夠使用合法的域名 ‘[email protected]’ 發送釣魚郵件。這樣的做法讓攻擊能夠繞過傳統的電子郵件驗證協議,如 SPF、DKIM 和 DMARC,因為這些協議主要是用來驗證寄件者的授權及郵件在傳輸過程中的完整性。

因為這封電子郵件是來自合法授權的伺服器,並且在傳送過程中沒有被篡改,因此這些檢查都通過,使得攻擊更容易避開本地安全和安全電子郵件閘道(SEGs)的初步檢測。儘管這個合法服務的高網域聲譽可能進一步助長了電子郵件繞過傳統檢測系統,但重要的是要注意,網域聲譽並不是這些傳統認證協議本身的直接組成部分。

在下面的螢幕截圖中,你可以看到釣魚郵件的上半部—這是惡意的部分,攻擊者在這裡悄悄放入了一個多形態的超連結。因為每封郵件都包含一個獨特的網址,這種多形態的設計讓傳統的安全解決方案,如 SEGs,偵測起來變得相當困難。SEGs 通常依賴於聲譽和簽名基礎的檢測,這些檢測是基於識別已知的惡意連結,這些連結會被列在封鎖清單上。然而,對於多形態連結而言,封鎖一個網址幾乎沒有影響,因為下一封郵件中會使用一個新的、獨一無二的連結。

附上EUSurvey釣魚郵件的截圖,並且已應用了KnowBe4 Defend的防釣魚橫幅 

攻擊者利用 社會工程學,在電子郵件內容中提及「INV REMIT」這個詞彙,這是與「發票匯款」常相關的術語,來暗示這封郵件的財務性質。透過鼓勵收件人點擊連結來查看這個所謂的匯款詳情,攻擊者提高了互動的可能性,因為涉及付款或財務文件的訊息通常會引起更快的注意和行動,特別是當它們看起來像是來自歐盟機構時。

下半部:隱藏的合法正文
然而,這次攻擊還有一個下半部。由於這個有效載荷是透過合法服務偷運進來的,原始的文字仍然存在於電子郵件中——它只是被設置成白色,與白色背景相同。接下來的截圖顯示收件人在向下滾動時(左邊)所看到的畫面,與他們如果向下滾動並高亮顯示白色空間時(右邊)所看到的畫面的對比。 

並排的截圖顯示該網路釣魚郵件的合法部分,並包含隱藏的白色文字以及合法的 EUSurvey 連結

攻擊者更改了文字顏色,使得一些合法內容在初次瀏覽時不易被注意到。這項手法降低了接收者注意到多封調查邀請或連結的可能性,從而減少引起懷疑的風險。

不過,他們無法改變合法的 EUSurvey 超連結的顏色,因為它是依照標準的超連結格式化,因此保持明顯可見。這個連結導向一個基本的回饋調查,這可能讓釣魚郵件繞過傳統的檢測工具,因為不太複雜的連結掃描器可能僅檢測到這個無害的調查連結,並將該郵件分類為非惡意。

釣魚郵件後半部連結的合法 EUsurvey 網站截圖 

攻擊的第二步驟:驗證與憑證收集以迴避連結掃描技術
如果收件人點擊了電子郵件上方的惡意連結,他們將被導向一個假驗證頁面。這個中介步驟如同一個偽驗證碼,旨在模糊連結掃描工具所能辨識的最終目的地。透過要求用戶互動,這個步驟防止了許多檢測工具到達實際的憑證收集網站,這樣一來就較不容易被標示為可疑。

這次攻擊的終極目標是竊取使用者的帳號密碼。受害者被引導到一個惡意網站,並被鼓勵輸入他們的個人資訊。這些帳號密碼竊取的網站目前已經被封鎖,以防止進一步的危害。

假驗證網站的截圖,收件人需要輸入一個代碼

偵測進階釣魚攻擊威脅
雖然這並不是最廣泛的攻擊,且明顯存在缺陷——因為無法完全隱藏原本的合法連結——但使用與歐盟相關的受信網站顯示出網路罪犯正將他們的攻擊轉向合法平台。這次攻擊也符合一個不斷上升的趨勢:威脅行為者透過合法服務發送釣魚郵件,例如 AppSheet、Microsoft、Google、QuickBooks 和 Telegram。

結合多形鏈接和載荷走私,這項活動展示了一種相當成熟的手法,旨在繞過常見於 Microsoft 365 和安全電子郵件閘道 (SEGs) 的檢測技術。因此,許多機構開始轉向整合雲端電子郵件安全產品(例如 KnowBe4 Defend),這些產品利用人工智慧來檢測先進的釣魚威脅,並防止員工互動惡意的超連結和附件。此外,基於威脅的意識與訓練,包含將實際釣魚電子郵件轉換成訓練模擬(例如透過 KnowBe4 PhishER),教育員工了解他們最有可能遭遇的釣魚攻擊。

文章來源: Phishing Deep Dive: EU-Affiliated Survey Platform Exploited in Sophisticated Credential Harvesting Campaign

You cannot copy content of this page