一、概述
*** 垂钓进犯，向来是具有伊朗布景的歹意安排用于获取账户的最常见浸透 *** 。CERTFA剖析了该歹意安排最新的 *** 垂钓进犯活动，该进犯被称为“诱人小猫的归来”（The Return of The Charming Kitten）。
在此次歹意活动中，歹意安排首要针对参加对伊朗经济和军事制裁的安排，以及国际范围内的特定政治家、公民、人权活动家和记者。
经过CERTFA的查询标明，进犯者清晰清楚受害者会运用两步验证（Two-step Verification），包含验证码和电子邮件帐户（例如Yahoo!和Gmail）。依据这一点，CERTFA以为，这些进犯的最有用办法，便是运用YubiKey等安全密钥。
二、布景
在2019年10月初，Twitter用户 @MD0ugh 发现一群伊朗黑客针对美国金融机构基础设施进行 *** 垂钓进犯。据这名用户说，这些突击可能是针对美国对伊朗新一轮制裁的反击。
该用户初次提到了地址为accounts[-]support[.]services的域名，该域名与伊朗 *** 支撑的一个黑客安排有关，咱们信赖这些黑客与 *** 革新卫队（IRGC）关系密切。ClearSky此前现已发布有关其活动的详细陈述。
在这些进犯发作的一个月后，accounts-support[.]services的办理员就扩展了他们的活动范围，而且开端针对民权与人权活动家、政治人物、伊朗和西方的记者发起进犯。
三、进犯办法
咱们的查询标明，进犯者正在运用不同的 *** 进行进犯，这些 *** 能够大致分为两类：
1、经过不知道的电子邮件、交际媒体、音讯帐号进行 *** 垂钓进犯。
2、进犯者首要攻陷公众使命的电子邮件、交际媒体、音讯帐号，然后运用它们进行 *** 垂钓进犯。
咱们还发现，进犯者在进行 *** 垂钓进犯之前，首要收集了有关其方针的信息。进犯者依据方针的 *** 常识水平、联系人、活动、工作时间和地理位置，为每个方针设置了详细的方案。
咱们还注意到，与此前的 *** 垂钓活动不同，在某些情况下，进犯者在最新一轮进犯中，没有更改受害者帐户的暗码。这样一来，进犯者的进犯行为就能够尽可能荫蔽，一起也能经过邮箱实时监控受害者的电子邮件通讯。
3.1 发送“未经授权拜访”的虚伪正告
依据 *** 垂钓进犯的样本，咱们发现进犯者用于诈骗方针的首要技巧是经过邮件 *** 发送虚伪的警报。发件人包含 notifications.mailservices@gmail[.]com 、 noreply.customermails@gmail[.]com 、 customer]email-delivery[.]info 等等，邮件内容大致是阐明未经授权的个人企图拜访用户的帐户。

经过运用这种手法，进犯者伪装电子邮件供给商，向方针发送安全警报，并诱导用户当即点击检查并约束能够拜访。在方针链接部分供给了更多的详细信息。
3.2 伪装成Google云盘上的文件同享
发送带有标题的链接（例如来自Google云盘的同享文件）是黑客近年来常常运用的技巧之一。与之前的进犯比较，这些进犯的共同之处是在于它们运用Google Site，其答应进犯者展现Google Drive的虚伪下载页面，并诱运用户以为它是一个真实的Google Drive页面。

例如，进犯者运用hxxps://sites.google[.]com/view/sharingdrivesystem来诈骗用户，并压服他们该网页是真实的Google云盘，用户也能够在浏览器的地址栏中看到“google.com”的字样。CERTFA现已陈述此链接，以及其他与Google类似的链接，现在这些链接现已被整理。
经过创立具有相同规划和外观的Google云盘文件同享页面，进犯者能够伪装与用户同享文件，诱导用户下载文件并在其设备上运转。随后，进犯者运用其攻陷的Twitter、Facebook和Telegram帐户发送歹意链接，并进一步传播给新的用户。现实上，这一进程中没有任何文件发生，进犯者运用这一页面将其方针定向到假的Google登录页面，诱运用户输入他们的凭据详细信息，包含双要素身份验证。
四、进犯结构
现在来说，大多数进犯都是经过 *** 垂钓邮件来完成的。因而，在最近的 *** 垂钓歹意活动中，检查原始邮件会对咱们的剖析进程很有协助。

4.1 方针链接
1、值得信赖的阶段：全球互联网用户都以为Google的主域名（google.com）是一个安全可靠的地址。但进犯者乱用这一现实，在sites.google.com（Google的子域名）上创立虚伪页面，来诈骗群众。Google的网站服务运用户能够在上面显现各种内容。进犯者假如运用此功用发送虚伪警报，并将方针重定向到不安全的网站，或许将嵌入式 *** 垂钓页面作为页面上的iframe。

2、不受信赖的阶段：因为Google能够快速辨认并删去sites.google.com上的可疑链接和歹意链接，因而进犯者也能够运用自己的网站。 *** 垂钓网站的链接与曩昔几年的前期 *** 垂钓活动具有类似的形式。例如，进犯者会在域名和 *** 垂钓URL中运用比如“办理”、“自定义”、“服务”、“标识”、“会话”、“承认”这类字词，来诈骗想要验证其网站地址的用户。
4.2 电子邮件中可点击的图画
为了绕过Google的安全体系和反 *** 垂钓体系，进犯者在他们的电子邮件正文中运用了图画，以此来替换文本。为此，进犯者还运用Firefox Screenshot4等第三方软件来保管他们的电子邮件图画。

[1] [2]  黑客接单网