网络钓鱼骗局

研究人员警告大家，一个新的针对Netflix的网络钓鱼骗局会将受害者带到具有有效传输层安全（TLS）证书的网站。

近日，SANS技术研究院院长Johannes Ullrich表示， 使用TLS认证网站的Netflix网络钓鱼邮件一直在增长。这些攻击背后的不良行为者，将利用未经修补的插件或弱密码来危害CMS软件，如WordPress或Drupal。他们可以从那里创建可能被误认为是真正的Netflix域名的钓鱼网站。在某些情况下，他们使用通配符DNS记录。

研究人员在一篇文章中说

有了通配符DNS记录，* anything.domain.com将指向相同的IP地址，攻击者只会使用一个子域/主机名来发起攻击。但我也看到了他们使用为钓鱼网站注册的特定域名。

然后，攻击者可以获取与Netflix相关的主机名的TLS证书，例如netflix.domain.com或netflix.login.domain.com; 这有助于该网站避免被安全浏览器软件标记。

Ullrich说，最初的欺诈电子邮件是该活动的薄弱环节，因此很容易被发现。

一些电子邮件由于用词不当，导致被标记为垃圾邮件。例如hxxps：//www.safenetflax.com，这其实是一个冒充Netflix而注册的域名。

点击链接后，Ullrich发现这些网站看起来很可信，看起来非常像真正的Netflix，但我发现唯一不同的是像Facebook这样的替代登录方法不见了。

虽然Netflix账户并不是特别有价值（Ullrich表示他看到他们每个账户的价格为0.20-0.50美元），但这种攻击可能会引起网络犯罪分子的注意，因为它很容易实现自动化，而且很难让受害者发现。

一旦Netflix账户被破坏，Netflix允许其标准和高级账户同时存储多个并发流，并通常很长时间不会被检测到。除非合法用户因为使用太多的流而被移除，否则合法用户将永远不会知道有其他人在使用他们的帐户。

近几年来，使用TLS进行网络钓鱼攻击的方法急剧增加; 去年，Zscaler表示，与2016年SSL / TLS相比，它看到的网络钓鱼攻击增加了400％。

Zscaler公司安全研究主管Deepen Desai在一篇文章中说：

黑客在他们已经入侵的合法域名上发布钓鱼页面。这些合法网站中很多都支持SSL / TLS，并且很少有网络安全解决方案可以支持大规模检测加密数据包。

Ullrich说，最终这个攻击者可能会使用TLS犯了一个错误; 因为Netflix或其他人很容易通过证书透明度日志轻松找到网站; 并且，如果该网站没有使用TLS，我相信很多用户都会注意到。

Netflix网络钓鱼活动已持续很多年，但最近出现了一系列新的假冒电子邮件和恶意链接，你能在各种地方看到警惕诈骗的信息。

例如，加拿大警察最近向公众发布了一个网络钓鱼骗局公告，该骗局假冒Netflix以获取受害者的银行信息。

应对措施

Netflix建议用户不要随意点击电子邮件中的链接，用户也可以通过其官方网站举报任何可疑的信息。