所謂的「剪貼簿劫持」(Pastejacking)是一種巧妙的技術,威脅行為者誘騙受害者複製/貼上並在他們的設備上運行惡意程式碼。攻擊從一封包含緊急句子的網路釣魚電子郵件開始,敦促收件人打開 HTML 附件。當檔案被打開時,會出現一個假的 OneDrive 資料夾,但它引用了 Microsoft 雲端儲存服務的一些錯誤訊息。然後,受害者會看到一個「如何修復」按鈕,提供有關如何打開 Windows 終端和 PowerShell 控制台並貼上特定程式碼行的分步說明。當受害者按照這些說明操作時,惡意軟體會立即被載入,進而可以隨時存取使用者的數據和環境。
2、透過 Google 繪圖進行網路釣魚
研究人員最近偶然發現了一種有趣的網路釣魚攻擊,騙子利用 Google Drawings(一種協作繪圖工具)來逃避檢測。透過這種技巧,使使用者會收到一個看似是 Amazon 帳戶驗證的連結,而該連結實際上是托管在 Google 繪圖工具上的圖形。由於安全團隊將此工具視為安全工具,該釣魚郵件便可躲過檢測。由於郵件內容看似緊急,使用者會點擊驗證連結,該連結包含一個使用 WhatsApp URL 短網址隱藏的網址。當受害者進入偽裝的 Amazon 頁面後,他們被要求完成一項安全檢查,需輸入個人資料,如出生日期、電話號碼、帳單地址和信用卡訊息。