这个蠕虫网络钓鱼活动是一个游戏规则的改变，在密码盗窃，帐户接管

一个针对某个组织的网络钓鱼攻击揭示了一种巧妙的方法，可以在受害者之间以一种被研究者认为是“巧妙”的方式反弹。

9月29日，网络安全架构师兼漏洞赏金猎人克雷格·海斯概述了https://www.zdnet.com/article/what-is-phishing-how-to-protect-yourself-from-scam-emails-and-more/“target=”Βblank“>网络钓鱼企图远远超出了通常的喷雾和祈祷策略以及危害网络的基本尝试，成为“他见过的最严重的密码盗窃案。”

In一篇中等博客文章，Hays详细介绍了响应团队是如何在上午10点收到组织发出的警报的，当时用户遭到网络钓鱼攻击。

最初，安全专家只是将通知视为“另一天，又一次攻击”。该团队锁定了受影响的帐户，并开始调查事件，以便找到根本原因任何潜在的损坏。

几分钟内，又有几个警报ping了他们的收件箱。这本身并不罕见。正如Hayes所指出的，“通过过滤规则的电子邮件往往会同时攻击许多人。”

然而，在第六次报告之后，回复者注意到这可能是一个更重要的问题——当他们进行了初步的损害评估并找到了两个账户时，海斯说：“我们可以看到，所有这些账户都是从全球各地的陌生地点访问的，并发出大量电子邮件。”对于如此多的帐户同时受到攻击，这要么是一次真正、非常有效的网络钓鱼攻击，要么是有人在长时间窃取凭据后拖延时间。”

问题是，最初的凭证被盗行为并不明显，当天没有受害者收到新联系人发来的电子邮件——后者是钓鱼邮件的一般发送方式，通常来自伪造或看似合法的来源。

另请参见：什么是网络钓鱼？为了保护自己不受诈骗电子邮件和其他攻击，你需要知道的一切

最终，团队转而使用登录时间戳将账户接管与电子邮件通信联系起来，这揭示了攻击的载体。

“钓鱼邮件是作为对真实邮件的回复发送的，”研究人员解释道我们的员工与供应商、客户甚至内部同事之间交换电子邮件。“

这就是它的工作原理：一旦一个电子邮件帐户被泄露，该帐户的凭据就会被发送到远程机器人。然后，机器人将登录到该帐户并分析过去几天内发送的电子邮件。

“对于它发现的每一个独特的电子邮件链，它都会回复最近的电子邮件，并提供指向钓鱼网页的链接，以获取凭据。”措辞非常通用，几乎可以适用于任何场景，而指向“文档”的链接也不会让人觉得不合时宜。“

作为回复发送，使用合法的电子邮件帐户，并且考虑到对话历史，很难区分bot和真正的帐户所有者。

这种技术，导致蠕虫式的大规模收购，让海斯对“几个小时内泄露的数量惊人的账户”感到“敬畏”。

CNET:SIM卡交换欺诈：如何防止您的电话号码被盗

不幸的是，随着机器人的规模不断扩大，一个接一个地接管账户，这使得它能够传播到受影响的公司之外——钓鱼电子邮件也被发送了对组织外的其他人。

到目前为止，网络钓鱼攻击已经失去控制，团队能够制止它的唯一方法就是在钓鱼网页的URL中找到一个模式，可以用来添加隔离规则。

而海斯则称这一活动为“巧妙的”和“最受欢迎的攻击”“我亲眼看到过，”他还指出，机器人“太有效了”，它急于传播，设置了危险信号和警报太快，无法充分发挥其潜力。