威脅者在為期兩天的網(wǎng)絡(luò)釣魚攻擊活動(dòng)中冒充美國(guó)交通部（USDOT），他們通過使用多種策略，為了使攻擊活動(dòng)看起來更合法，他們還創(chuàng)建了虛假的聯(lián)邦網(wǎng)站的域名， 來逃避安全檢測(cè)。

　　在8月16日至18日期間，研究人員共發(fā)現(xiàn)了41封釣魚郵件，這些郵件都以國(guó)會(huì)最近通過的1萬億美元基礎(chǔ)設(shè)施方案中的項(xiàng)目投標(biāo)為誘餌進(jìn)行詐騙。

　　此次攻擊活動(dòng)主要以工程、能源和建筑等行業(yè)的公司為攻擊目標(biāo)，這些公司可能會(huì)與美國(guó)交通部合作，并向潛在的受害者發(fā)送詐騙電子郵件，其中他們被告知，美國(guó)交通部正邀請(qǐng)他們通過點(diǎn)擊一個(gè)帶有 “點(diǎn)擊這里投標(biāo) ”字樣的巨大的藍(lán)色按鈕來提交一個(gè)部門項(xiàng)目的投標(biāo)。

　　這些電子郵件是從亞馬遜8月16日注冊(cè)的一個(gè)域名transportationgov[.net]發(fā)出的。根據(jù)它的創(chuàng)建日期，似乎表明該網(wǎng)站正是專門為網(wǎng)絡(luò)釣魚活動(dòng)設(shè)立的。

　　對(duì)于熟悉政府網(wǎng)站的人來說，政府網(wǎng)站通常會(huì)有一個(gè)。gov的后綴，從這方面來看，這個(gè)域名會(huì)顯得很可疑。然而，對(duì)于習(xí)慣于快速瀏覽的人來說，這個(gè)域名看起來可能像是一個(gè)正規(guī)的網(wǎng)站。

　　欺騙受害者

　　如果人們點(diǎn)擊鏈接，他們會(huì)被引導(dǎo)到transportation.gov.bidprocure.secure.akjackpot[.com]網(wǎng)站，有‘transportation’、‘gov’和‘secure’等看起來很正規(guī)的子域名。然而，該網(wǎng)站的基礎(chǔ)域名akjackpot[.]com實(shí)際上是在2019年注冊(cè)的，該基礎(chǔ)域名上可能運(yùn)行的是一個(gè)馬來西亞人的在線賭場(chǎng)網(wǎng)站。要么該網(wǎng)站已經(jīng)被劫持了，要么網(wǎng)站的所有者本身就是利用它來冒充美國(guó)聯(lián)邦貿(mào)易委員會(huì)的釣魚者。

　　一旦進(jìn)入了假的投標(biāo)網(wǎng)站，用戶就會(huì)被指示點(diǎn)擊一個(gè) “投標(biāo) ”按鈕，并用他們的電子郵件提供商進(jìn)行登錄。它還指示他們?nèi)绻腥魏螁栴}，可以與另一個(gè)假域名mike.reynolds@transportationgov[.]us的所有者進(jìn)行聯(lián)系。

　　一旦受害者關(guān)閉了指示，他們就會(huì)被引導(dǎo)到一個(gè)與真實(shí)的美國(guó)交通部網(wǎng)站非常相像的網(wǎng)站上，這個(gè)網(wǎng)站其實(shí)是攻擊者將政府網(wǎng)站的HTML和CSS復(fù)制到他們的主機(jī)上做出來的。

　　在詐騙完成之后，威脅者還復(fù)制和粘貼了一個(gè)關(guān)于如何驗(yàn)證美國(guó)政府網(wǎng)站真實(shí)性的警告，這樣可以提醒受害者，他們被騙了，因?yàn)樗麄円庾R(shí)到這個(gè)釣魚網(wǎng)站的域名是以。com結(jié)尾，而不是。gov或。mil。

　　一旦進(jìn)入這個(gè)假冒的美國(guó)交通部網(wǎng)站，受害者就會(huì)被邀請(qǐng)點(diǎn)擊一個(gè) “點(diǎn)擊這里投標(biāo) ”按鈕，還會(huì)出現(xiàn)一個(gè)帶有微軟標(biāo)志和 “用你的電子郵件提供商登錄 ”指示的憑證收集表格。第一次嘗試輸入憑證時(shí)會(huì)遇到ReCAPTCHA驗(yàn)證，合法網(wǎng)站一般會(huì)將其作為網(wǎng)站的安全組件。然而，攻擊者在這時(shí)就已經(jīng)獲取了憑證。

　　如果受害者第二次嘗試輸入證書，就會(huì)出現(xiàn)一個(gè)錯(cuò)誤信息，然后他們會(huì)被引導(dǎo)到真正的美國(guó)交通部網(wǎng)站，釣魚者經(jīng)常將這一步作為最后一步來進(jìn)行執(zhí)行。

　　躲避設(shè)備的檢測(cè)

　　雖然攻擊者在他們的攻擊活動(dòng)中沒有使用任何新的網(wǎng)絡(luò)釣魚技巧，但正是這種新模式的戰(zhàn)術(shù)組合使他們能夠繞過安全的電子郵件網(wǎng)關(guān)來進(jìn)行攻擊。

　　創(chuàng)建一個(gè)新的域名，巧妙的利用當(dāng)前的事件，冒充一個(gè)著名的機(jī)構(gòu)，就可以發(fā)起一次憑證竊取攻擊，這些釣魚攻擊者想出了一個(gè)與所有已知攻擊剛好不同的攻擊方式，很好的躲避了標(biāo)準(zhǔn)的檢測(cè)方法。使用新創(chuàng)建的域名可以使違法的釣魚郵件通過SPF、DKIM和DMARC等標(biāo)準(zhǔn)的電子郵件認(rèn)證。

　　由于它們的攻擊域名等都是全新的，它們以前也從未出現(xiàn)過，也沒有出現(xiàn)在傳統(tǒng)的反釣魚工具所參考的威脅情報(bào)中。并且這些網(wǎng)站看起來沒有惡意，人們很容易上當(dāng)。