一些钓鱼邮件和恶意软件伪装成律师事务所发来的邮件,达到以假乱真的程度,构成了网络钓鱼的新花样。此类骗术通常会通知收件人他/她被起诉了,指示他们查看附件并在几天内作出回应,或者要求收件人进行其它操作。下面是最近的垃圾邮件活动,其中包含超过10万个企业电子邮件地址,都是带有恶意软件的虚假法律威胁。
在5月12日左右,至少有两家反病毒公司开始检测到携带病毒的Microsoft Word文件,这些文件都包含类似于下列消息的内容:
{Pullman & Assoc. | Wiseman & Assoc.| Steinburg & Assoc. | Swartz & Assoc. | Quartermain & Assoc.} legal@wpslaw.com(译者注:虚构的典型律所名称)
嗨,
以下{电子邮件|邮件}是市政府对您的起诉通知。
我们的{法律团队|法律顾问|法律部门}已经准备了一份解释该{诉讼|法律纠纷|法律争议}的文件。
请下载并仔细阅读附件中的加密文档。
请在7天内回复此电子邮件,否则我们将不得不进行下一步诉讼步骤。
提示:文档的密码是123456
上面的模板是在地下交易的网络钓鱼工具包的一部分,该工具包的用户可以自行决定实际发出网络钓鱼邮件时,括号中选填哪些内容。
很明显,邮件行文用语(如称谓等)很马虎粗糙,不过对附加的恶意Word文档的整体防病毒检测率也同样不堪。这个网络钓鱼工具包有五个植入病毒的Microsoft Word文档可供选择,然而知道5月22日——这些垃圾邮件发出后10天,五十多个对这些Word文档进行了扫描的防病毒产品中,只有不超过三个检测出这些是恶意文件。
根据Fortinet和Sophos的说法,附加的Word文档包含一个木马,通常用于在受害者的计算机上安装其他恶意软件。根据之前的检测,这种木马与勒索软件有关,但在本文的案例中,攻击者可以使用该木马选择他们需要安装的恶意软件。
此外,该网络钓鱼工具包的一部分是一个文本文档,其中包含大约100,000个企业电子邮件地址,其中大多数以加拿大(.ca)域名结尾,此外还包含一些属于美国东北部公司的目标。这个骗术中,即使只有一小部分收件人不小心打开附件,就可以让网络钓鱼者大赚一笔。
这个骗局中虚构的律师事务所域名:wpslaw.com,可以重定向到位于康涅狄格州的一个合法公司RWC LLC的网站。RWC接听电话的女士说,最近曾有人打电话来投诉网络钓鱼诈骗,但除此之外,该公司对这件事情一无所知。
随着网络钓鱼工具包的改进,这个案例中使用的其实非常基础,并精心炮制以达到真假难辨的程度。但也可以看出,这个钓鱼邮件只是在文字内容上稍加用心,使用了较为正式的称谓,就已经达到很好的欺骗效果,因为它抓准了一个普遍心理:只要看似像与法律诉讼相关的文件,人们往往想都不想就急忙打开。
所以,永远不要打开陌生事项的电子邮件中的附件,但凡有任何疑问,请果断删除。如果担心误删真实邮件,可以先调查核实发件人身份,有必要的话可以通过电话与他们联系。此外,不要冲动地回复此类垃圾邮件,这样做可能只会吸引骗子进一步发邮件“下套”。
