当前位置： 当前位置：首页 >电脑教程 >攻击者冒充VPN提供商对员工发起攻击，超130家公司已“中招”正文

近日 ，中招GuidePoint Research和Intelligence Team（GRIT）发现了一个针对英语使用者的攻击攻击公司持续钓鱼活动，该活动已经针对美国超过130家公司和组织。充V超

研究人员指出，提供自2024年6月26日以来，商对这个威胁行为者注册了与目标组织使用的员工已VPN提供商相似的域名 。威胁行为者通常会打电话给员工个人，发起假装来自服务台或IT团队 ，中招并声称他们正在解决VPN登录问题。云计算攻击攻击公司如果这种社工攻击尝试成功，充V超威胁行为者会发送一个短信链接给用户 ，提供该链接指向假冒公司VPN的商对假网站 
。

该威胁行为者还为每个目标组织设置了自定义的员工已VPN登录页面。与此活动相关的发起域名如下：

ciscoweblink.comciscolinkweb.comciscolinkacc.comciscoacclink.comlinkciscoweb.comfortivpnlink.comvpnpaloalto.comlinkwebcisco.com

这些页面与每个组织的合法页面非常相似，包括可用的中招 VPN 组。建站模板但是，在某些情况下，威胁行为者已将“TestVPN”和“RemoteVPN”等 VPN 组添加到虚假登录页面的下拉菜单中 ，这可能是作为社会工程攻击中的一种策略。

通过这些虚假登录页面
，威胁行为者能够收集用户的用户名、高防服务器密码和令牌，即使存在多因素认证（MFA）也是如此 。

如果 MFA 使用推送通知 ，则威胁行为者会指示用户在社交工程调用期间批准推送通知。在最后一步中 ，用户被重定向到目标组织的合法 VPN 地址 ，并可能被要求再次登录
，从而加强问题已解决的错觉。模板下载

一旦威胁行为者获得对网络的VPN访问权限 ，他们立即开始扫描网络 ，以识别横向移动、持久性和进一步权限提升的目标 。

GRIT写道：这种钓鱼活动中使用的社会工程类型特别难以检测，因为它通常发生在传统安全工具的可见性之外 ，例如通过直接拨打用户的免费模板手机号和使用短信/文本消息 。

除非用户报告收到这些类型的电话或消息，否则安全团队甚至可能察觉不到。威胁行为者还可以通过这种方法针对多个用户 ，直到他们成功地找到一个容易受到这种攻击的用户。

为了避免安全风险，用户应对过去30天内来自VPN分配IP地址的可疑活动日志进行详细排查。如果发现任何成功的香港云服务器入侵迹象要立即与安全团队沟通 ，并立刻采取相应措施 。