钓鱼信件有新手法，以电话客服诱骗用户安装恶意程式

因应安全软件愈来愈能过滤钓鱼信件，歹徒也发展出新招数，以成功散布恶意连结或恶意软件。安全厂商Proofpoint发现新的钓鱼邮件攻击，会结合电话客服中心诱使用户下载恶意软件。

研究人员本月发现一批钓鱼信件散布名为BazaLoader的后门程式。该公司是于2020年4月首次观察到BazaLoader，和Trickbot木马程式有很强关联性，目前也经常被歹徒用于下载Ryuk、Conti勒索软件。

今年2月，BazaLoader是经由钓鱼信件传布，冒充药商或内衣、鲜花服务，而最新的一波钓鱼邮件则伪装成串流影音娱乐服务BravoMovies，告知用户免费试用的服务已经到期，将开始经由信用卡收费。信中告知，用户如果不愿订阅，应以邮件所附电话号码，联络客服中心取消。信以为真的用户就会因此踏入陷阱。

为取信于用户，它和一般钓鱼邮件一样，利用网络上的资源制作精美的影片，但特别的是，它加入名为BazaCall的手法，引导用户经由网站上FAQ页的电话和歹徒互动。当用户打电话给客服中心时，“客服人员”会引导用户前往网站“取消订阅页”下载一个Excel档（如下图）。这个档案含有宏，一经开启，就会下载BasaLoader。

图片来源_Proofpoint

图片来源_Proofpoint

这个感染链需要用户打电话和歹徒互动，还要下载软件，和一般钓鱼信件攻击的手法看似相反。但研究人员指出，传统钓鱼信件以附件挟带恶意程式，容易被安全软件侦测拦截。透过将用户引导离开邮件管道，再主动下载程式的手法看似更麻烦，但安装成功机会更高。

使用客服中心并非钓鱼攻击的发明。数年前就有歹徒冒充微软、Google等技术支援服务，在用户打电话时，由假客服人员引导用户下载恶意程式，或引导他们开启远端连线，令其得以控制用户电脑，或收取高费用。