當「聯絡我們」表單變成「聯絡網路犯罪分子」

主分析師: Lucy Gee 和 James Dyer

網路罪犯想要賺錢。不幸的是,對於詐騙的目標(以及他們工作的組織)來說,這意味著他們不斷精煉自己的戰術,以創造更複雜的攻擊,讓人與電子郵件安全產品都更難以偵測。

冒充攻擊使網路罪犯能夠利用受害者熟知並信任的人或品牌的信任關係,以及他們的權威性。

例如,商業電子郵件妥協是提升網路詐騙攻擊效果的最有效方法之一。在這種情況下,網路罪犯利用已被入侵的合法電子郵件帳戶,向那些與寄件地址無關的聯絡人發送詐騙郵件(例如,他們從網上獲取的聯絡人名單),或更有效地向供應鏈內的熟悉聯絡人發送詐騙郵件。利用被入侵的帳戶發送詐騙郵件使他們能夠:

  • 通過電子郵件驗證,例如 DMARC: 驗證檢查是原生安全和安全電子郵件網關(SEGs)依賴的關鍵機制,以檢測惡意電子郵件。來自合法域名的詐騙攻擊將“欺騙”驗證機制使其認為這些郵件是安全的。
  • 去除詐騙的關鍵跡象: 由於顯示名稱和電子郵件地址相符,人們無法僅依靠識別不匹配來揭露冒充攻擊。此外,電子郵件地址會遵循典型的商業格式(例如,名字‘.’姓氏),並來自組織的正確域名,再次去除了像不尋常的長電子郵件地址和類似域名等攻擊跡象。
  • 社交工程目標: 如果與寄件地址沒有既有關係,人們可能仍會被精心設計的攻擊所迷惑,認為這個聯絡人正在建立新的互動。這種情況在已有關係時會更加明顯,因為之前受害者沒有理由不信任寄件者的地址。

這些因素結合起來提高了詐騙攻擊的成功率,而網路罪犯也清楚這一點!根據 KnowBe4 Defend 的數據,2025年檢測到的攻擊中,有超過一半(59.1%)是由被駭帳戶發送的。這比2024年增加了34.9%。

然而,不幸的是,網路罪犯進一步進化了他們的攻擊。現在我們談論的不僅僅是商業電子郵件妥協,而是整個業務妥協,這提供了更廣泛、更快速且更具可信的訪問。

我們的威脅實驗室團隊觀察到一種新且更有效的攻擊方式,這種攻擊甚至不需要任何帳戶妥協。

新興的詐騙攻擊:劫持合法網路表單

自2025年9月11日以來,我們的威脅實驗室團隊觀察到網路罪犯透過企業的聯絡我們或預約表單來進行的攻擊,這些表單在大多數網站上都可以輕易找到。這些表單讓用戶輸入電子郵件地址和自訂訊息,通常觸發來自組織的自動電子郵件回覆。

然而,攻擊者也可以相對容易地利用這些表單發起詐騙活動,方法為:

  1. 創建一個新的“onmicrosoft”域名,使用他們想要冒充的顯示名稱和任何他們想在攻擊中使用的聯絡詳情(例如,一個電話號碼)
  2. 設置郵件流規則,將任何電子郵件自動轉發,例如“聯絡我們”自動確認郵件,轉發到一個目標的分發清單
  3. 使用他們的“onmicrosoft”電子郵件地址填寫線上表單,並附上他們希望目標使用的任何其他聯絡詳情和訊息

我們的研究顯示,這種技術主要在法律、銀行、醫療保健和保險等行業的網路表單中被利用。

請繼續閱讀以獲取更多細節及這些攻擊如何展開的範例。

詐騙攻擊摘要途徑和類型: 電子郵件詐騙

技術手法: 技術性、品牌假冒及以行動裝置為中心

目標: Microsoft 365 使用者

惡意網路犯罪分子如何利用「聯絡我們」表單來釣魚組織

在攻擊者向目標發送釣魚電子郵件之前,他們會先創建一個免費的 “onmicrosoft” 帳戶。出於安全考量,在以下範例中我們已將該帳戶資訊模糊處理,不過我們保留了網域的可見性: 


一個網路犯罪者使用「onmicrosoft」建立的免費帳號。

在設置帳號時,攻擊者也會填寫顯示名稱以進行冒充 – 在我們分析的這個例子中,這名網路罪犯使用了PayPal來鏈接到一個金融詐騙的理由(我們會在下方更詳細地探討)。此外,這名網路罪犯還添加了一個電話號碼,對於這次攻擊來說,這個電話號碼就是攻擊的載體。

一旦帳戶設定完成,網路犯罪分子便會創建一條郵件流規則,將所有進來的電子郵件自動轉發到他們已經填寫好的發送名單。這份名單通常會包含數千名收件人,這些人都是這次攻擊的目標。

接下來,網路犯罪者會透過某公司的真實網站找到他們想要使用的合法線上表單。在下方分析的範例中,他們選擇了一個 National Bank of Canada 的表單,讓他們能夠提出預約請求。

以下是當這名網路犯罪者完成表單後觸發的自動郵件,隨後自動轉發到 “onmicrosoft” 帳戶的分發清單中。

由於這封郵件是由 加拿大國家銀行 的自動化系統所發送,因此「寄件者」地址完全合法,所有的超連結也來自 加拿大國家銀行。因此,它通過了例如 DMARC 等身份驗證檢查,這些檢查是安全電子郵件閘道(SEGs)和 Microsoft 所依賴的。此外,這些因素,加上風格化的 HTML 格式,也可能使收件人相信這是一封正當的(因此安全的)郵件。 

假冒騙取的電子郵件,攔截了來自加拿大國家銀行的合法自動發送郵件,並附上了KnowBe4 Defend的反釣魚橫幅。

攻擊者填寫的表單讓他們可以請求與銀行的代表約見。因此,自動生成的電子郵件內包含了日曆事件,並附上了符合預約確認通常結構的模板文字,如會議的日期和時間,以及銀行代表的資訊。

在填寫表單時,攻擊者利用可用的欄位加入前情提要和他們的有效載荷,在這個案例中有效載荷是一個電話號碼。

前言:這則訊息詳細描述了目標帳戶上發生的「異常活動」,其中包含透過 PayPal 進行的一筆 $724.46 的交易。這筆金額——出現了兩次以達到加倍效果——足以引起收件人的注意,並可能使他們因為資金損失而感到驚慌。

在填寫表單時,該網路犯罪者在「姓名」欄位使用了以下內容:

Contact Us 3_blur這是網路表單中由網路犯罪分子在「姓名」欄位所填寫的內容,該內容幫助他們建立攻擊的藉口。

這個表單還允許他們添加訊息,這些訊息也會自動填入確認郵件中。同樣地,網路犯罪者利用這一點來進一步佈置他們的金融詐騙前提:

網路犯罪者在在線表單中添加的額外前置信息,以社交工程方式操控其受害者。

載荷:網路犯罪者利用線上表單上的「姓名」、「電話號碼」和「訊息」欄位插入了一個電話號碼,收件人理論上可以用來聯絡銀行。自動回覆的模板設定為在確認電子郵件中填入這些資訊。


網路犯罪分子在填寫表單時提供的聯絡資訊,這些資訊會透過確認電子郵件自動填入。這個電話號碼在此次攻擊中充當了有效載荷。

這個號碼是提供給您管理約會和聯絡銀行關於詐騙收費的方式。透過電話持續進行攻擊,網路犯罪分子能利用受害者的情緒高漲進一步操控他們,以窺取更多資訊,例如個人及財務細節,這些資訊可以被用於實際的詐騙行為。

偵測新興的網路釣魚攻擊活動

不幸的是,任何在其網站上有網頁表單的組織都可能遭到這種方式的利用。我們的威脅實驗室團隊預測,隨著網路犯罪份子不斷改進他們的攻擊手法,以突破防範技術和進行社交工程攻擊,這類型的攻擊在未來幾個月內會有所增加。 

雖然利用網頁表單是一種新型的攻擊方式,但它符合一個更廣泛的趨勢,即網路犯罪分子劫持合法平台,使他們的攻擊可以同時享有網域權威和品牌信任。

隨著時間的推移 – 而且規模越來越大 – 我們已經無法再相信一封看似例行的電子郵件真的是由它所顯示的組織發送的。因此,增加一層電子郵件安全防護,採用零信任的檢測方式,變得更加重要,例如KnowBe4 Defend。這意味著,對每一封進來的電子郵件的所有元素都進行整體分析,以評估該郵件是否安全 – 無論它是來自知名品牌的可信域名。此外,組織還可以利用即時威脅情報,教育每一位個人有關他們面臨的特定攻擊,以幫助對抗社交工程威脅並挑戰人們自動信任品牌通訊的內在偏見(啟發式思維)。

這是組織保護他們的員工、客戶、資料和系統的最佳防線,因為詐騙攻擊持續演變,挑戰著傳統技術與員工。

文章來源: When a “Contact Us” Form Becomes “Contact a Cybercriminal”

You cannot copy content of this page