Anomali Labs的研究人员最近发现了一个网络钓鱼网站伪装成联合国（UN）Unite Unity的登录页面，Unite Unity是联合国工作人员使用的单点登录（SSO）应用程序。当访问者登录欺诈页面时，他们的浏览器被重定向到2018年9月波兰驻平壤大使馆的观影邀请。对攻击者基础设施的进一步分析揭示了针对多家电子邮件提供商、金融机构以及支付卡供应商的广泛网络钓鱼活动。以后我们可能会看到攻击者继续以联合国工作人员、所列机构及其用户为目标，使用伪造的登录页面窃取他们的用户凭证，以便在犯罪论坛和市场上转售；如果窃取道德是金融账户，则窃取支付卡信息。

初步发现

在2019年2月17日，Anomali Labs的研究人员发现了一个托管网站cloud[.]unite[.]un[.]org[.]docs-verify[.]com与联合国使用的合法域名unite.un[.]org非常相似。进入该可疑子域时，会显示模仿联合国的Unite Identity登录页面的网络钓鱼站点。根据UN Unite网站，Unite Identity是一个单点登录（SSO）应用程序，允许联合国工作人员使用唯一用户ID和密码登录各种系统，如Webmail和内部数据库。网络钓鱼站点请求用户输入以@un[.]org结尾的电子邮件地址以及Unite Identity密码。网络钓鱼页面是合法站点的克隆版本，它还警告用户伪造的联合国网站会窃取用户名和密码，并提供合法的Unite Identity登录页面的网站地址副本。因此，研究人员断定此网页仿冒页面旨在欺骗联合国的工作人员以窃取其用户凭据。

用户输入凭据并点击登录后，会被重定向到名为“Invitation.pdf”的PDF文件页面（MD5：3a90141002ad87068777d7cc81aa5812），该文件创建于2018年9月4日，根据该文件的内容，这是一封邀请函，邀请大家于当地时间2018年9月6日6:30在波兰共和国驻朝鲜大使馆观看一部名为“Loving Vincent”的电影。用VirusTotal和Hybrid Analysis对该PDF文件进行处理时，没有立即出现恶意软件感染文件的迹象; 因此，目前尚不清楚其背后的目的。

SSL证书分析

托管联合国主题网络钓鱼站点的服务器安装了自签名SSL / TLS证书（SN：276742105605466998454240396830933951554982），由免费证书供应商Let’s Encrypt提供。该证书自2019年1月29日开始有效期为90天，并于2019年4月29日到期。证书的主题备用名称（SAN）显示父域docs-verify[.]com共有12个可疑子域名，目标为四家电子邮件供应商Yahoo、AOL、NetEase和163.com。在撰写本文时，12个子域中有6个托管了伪造登录页面，模仿联合国、雅虎、美国在线和163.com的登录站点。

针对UN、Yahoo、AOL、163.com、NetEase的欺诈性网站的SSL证书主题备用名称

Yahoo、AOL和163.com的虚拟登录页面

域和IP地址分析

父域docs-verify[.]com的Whois记录查询表明它于2018年8月1日由位于缅因州贝德福德的名为“Leslie T. Alexander”的注册人使用邮箱leslietalexander{at}protonmail[.]com在马来西亚注册商和托管服务提供商Shinjiru Technology Sdn Bhd上注册。父域和12个相关子域解析为位于马来西亚的IP地址111.90.142[.]52（AS45839 – Shinjiru Technology Sdn Bhd），它是33个域的主机。对这32个子域名的审查发现了多个可疑网站，其中包括针对Visa Vanilla礼品卡、Caixa Bank of London和First Texas Bank的网络钓鱼网站。

保护自己免受网络钓鱼攻击

警惕来自不受信任的用户的未经请求的电子邮件，并且不要打开任何文件附件或点击任何超链接，尤其是当发件人请求您访问请求您的帐户凭据的可疑网站时。

及时更行更新操作系统和应用程序。

使用防病毒和防火墙解决方案，并确保它们始终与最新的修补程序和防病毒签名保持同步。

始终检查网站地址以确保登录的是合法网站。不要盲目相信位于地址栏左上角的挂锁，因为它只表示从您的计算机移动到所请求站点的信息是加密的。