QuickBooks用户需警惕新的钓鱼攻击

关键要点

• Intuit发出警告，针对QuickBooks用户的钓鱼攻击激增。
• 攻击者伪装成QuickBooks支持团队，发送虚假邮件要求用户提供个人财务信息。
• 用户需特别留意可疑邮件，切勿点击其中的链接或打开附件。

即使消费者的报税季节已经过去，网络犯罪分子仍然集中精力针对商业会计软件用户，发起新的钓鱼攻击潮。

根据，其流行的用户近期收到了一些钓鱼邮件，声称他们的账户已被“暂时暂停”。这些看似真实的邮件旨在诱骗QuickBooks用户提供其财务数据或允许访问其账户。

长久以来在金融软件行业内享有盛名的Intuit在通知中解释了钓鱼攻击的工作原理，并建议QuickBooks用户不要点击可疑邮件中的链接或打开附件。此外，它还表示：“Intuit最近接到客户报告称，他们收到了与下面邮件相似的邮件。该邮件不是来自Intuit，发件人与Intuit无关，非Intuit的授权代理商，且其使用也是未获Intuit授权。”

攻击者所发送的钓鱼邮件通常伪装成会计软件的支持团队，近期有用户报告称收到过类似邮件，内容包括：“我们在审核您的业务后，发现无法验证您的账户信息，因此已对您的账户实施暂时冻结。”钓鱼邮件中写道：“如果您认为我们犯了错误，我们希望尽快解决此问题。请您填写下面的验证表格，以帮助我们有效地重新审查您的账户。完成验证后，我们将在24至48小时内重新审查您的账户。”

那些不幸中招的QuickBooks用户点击了假邮件中的“完成验证”按钮后，被重定向到一个钓鱼网站，旨在窃取他们的财务信息或感染其系统。

在一篇关于这些攻击的博客文章中，Avanan的网络安全研究员杰里米·福克斯指出，自2022年5月起，网络犯罪分子便开始利用QuickBooks的域名和网站发送虚假发票并请求付款。威胁行为者越来越频繁地采用来针对商业和消费者会计用户，以及全年针对纳税人的不断升级的攻击。

福克斯表示：“黑客不断伪装成值得信赖的品牌以进入用户的收件箱。通过利用受信域名的合法性，安全解决方案更有可能将邮件视为合法。”他进一步指出：“邮件内容可能与域名所提供的服务不同，但这并不重要，重要的是利用这一合法服务。我们称之为。”

换句话说，网络犯罪分子正在利用一些知名网站域名（如QuickBooks），这些域名通常在“静态”白名单上，因此邮件会自动进入收件箱。

攻击者首先注册并创建一个免费的QuickBooks账户，然后从该域名发送邮件，通常还会伪装成其他常用软件，例如Office365。实际上，攻击者利用QuickBooks的长期合法性和知名度，试图欺骗繁忙的商业用户，QuickBooks已有近40年的历史。

除了“账户暂停”骗局，QuickBooks的骗子还会发送看似来自其QuickBooks域名的诺顿实用工具的合法发票，并催促企业用户拨打联系电话以咨询问题。一旦会计软件用户拨通电话，网络盗贼便会请求信用卡信息或其他财务细节。

福克斯指出，多年来，这种结合社会工程学与从知名域名发送邮件的技术，导致用户受到目标攻击，包括来自其他受信品牌的用户，如，谷歌和[Adobe](