新型网络钓鱼手法

  近日，澳大利亚电子邮件安全公司MailGuard对其用户发出警告称，发现了新型网络钓鱼手法。该方法直接利用HTML附件创建了虚假网站，以提高攻击的成功率。此攻击主要针对流媒体音乐服务平台Spotify的用户。 

   
据了解，在传统网络钓鱼攻击中，不法分子会引诱受害者点击链接，以将其重定向至虚假网站，从而窃取用户的登录凭证。然而，用户可通过检测链接，以预防此类攻击。 

对此，黑客改进了攻击手法。攻击者会模仿原始的Spotify布局，设计一个看似合法邮件，然后会向用户发送伪造的付款失败通知，通过邮件中的附件直接生成诈骗网站：此类钓鱼邮件会带有一个HTML附件，当用户打开该附件时，该附件的JavaScript会直接呈现多种账户登录表单。当用户提交信息后，JavaScript会秘密将该数据提交到后台的远程站点，以此窃取用户支付卡数据。

    尽管攻击者尽力伪造了仿真的电子邮件，但它们仍然存在一些漏洞。通过快速浏览完整的发件人地址就会发现，发件人的电子邮件地址不是合法地址。同样，其电子邮件正文中也存在许多格式错误，这有助于帮助用户发现消息的虚假性。 

小E再次提醒，当今世界，网络钓鱼手段多种多样，尤其是利用邮件的钓鱼数不胜数。广大用户们在日常确定邮件的可靠性时，要变得更加警惕！