资讯 · 2022年6月1日

Telegram 的博客平台在网络钓鱼攻击中被滥用

Telegram 的匿名博客平台 Telegraph 正被网络钓鱼者积极利用,他们利用该平台的宽松政策设置临时登录页面,从而导致帐户凭据被盗。

Telegraph 是一个博客平台,任何人都可以在不创建帐户或提供任何身份信息的情况下发布任何内容。

虽然这为发布者提供了匿名性,但它也让威胁行为者对其自己的活动进行大规模滥用。

已发布的 Telegraph 帖子会生成一个链接,威胁参与者可以以他们选择的任何方式分发该链接,但没有将这些帖子推广到社区的中心位置。因此,电报是快速、简单和匿名的。

此外,由于 Telegraph 的编辑器支持添加图像、链接并提供文本格式选项,因此可以使博客文章看起来像网页,包括登录表单。

网络钓鱼页面

根据 INKY 在发布前与 Bleeping Computer 共享的一份报告,网络钓鱼攻击者广泛使用 Telegraph 来创建看起来像网站登录页面或登录门户的网络钓鱼站点。

INKY 从 2019 年底到 2022 年 5 月的数据显示,最近在网络钓鱼电子邮件中包含 Telegraph 链接的情况急剧上升,因为超过 90% 的检测发生在今年。

网络钓鱼电子邮件的发送率非常好,因为这些链接托管在 Telegraph 上,该平台没有被任何电子邮件安全解决方案标记为危险或可疑。

在许多情况下,INKY 注意到网络钓鱼电子邮件来自被劫持的电子邮件帐户,因此绕过了已知诈骗地址的阻止列表。

在大多数记录的案例中,网络钓鱼攻击者的目标是进行加密货币诈骗或获取其目标的帐户凭据。

INKY 看到的案例差异很大,表明 Telegraph 的滥用来自多个团体/参与者,而不是特定的威胁集群。

一个例子是 OneDrive 通知,它会引导到一个逼真的 Microsoft 登录页面,提示受害者输入他们的帐户凭据。

在另一个案例中,INKY 看到一条勒索信息,威胁说如果收件人不支付赎金,他们就会泄露私人文件。支付门户直接托管在 Telegraph 上,为受骗的受害者提供多种支付方式。

如何保护自己

网络钓鱼攻击者不断尝试可能提高成功机会的新途径。他们经常通过结合被盗的电子邮件帐户和 Telegraph 等免费网站来实现这一目标。

出于这个原因,用户不应该仅仅因为电子邮件通过了保护就信任它。如果正文中有链接,请将光标悬停在其上以查看它在单击之前重定向的位置。

每当您最终访问一个要求您提供帐户凭据的网站时,请确认您已登陆官方登录门户,然后再在框中输入任何内容。

最后,请记住始终保持冷静,永远不要采取行动。没有任何一种在线紧急情况不允许您花几分钟时间调查潜在的骗局迹象。