2025年12月23日

作者：Jhon Astronomo，Cofense钓鱼防御中心

近期，威胁攻击者一直在冒充大型公司的员工，例如ADP——一家全球领先的人力资源管理和薪资处理服务提供商。Cofense钓鱼防御中心最近观察到一场新的冒充ADP的钓鱼活动，该活动使威胁攻击者能够获取员工账户并窃取敏感信息。为了帮助员工识别钓鱼威胁，并使其成为抵御威胁攻击者的第一道防线，我们剖析了这个真实的案例。

邮件声称用户违反了某些条款和条件，并敦促其登录以解决问题，从而制造一种虚假的紧迫感，诱使用户提供敏感信息。

图1：邮件正文 乍一看，这封邮件像是一则简单的通知。如图1所示，邮件的显示名称为“MY ADP”，加上令人信服的主题行，看起来是合法的。然而，威胁攻击者通过制造虚假的紧迫感来操纵用户的情绪，声称用户违反了某些条款和条件，并敦促其立即登录解决问题。这种施压策略旨在使用户不假思索地点击恶意链接。为了使它看起来更可信，链接本身可能因包含“ADP”而让用户感到熟悉，这可能导致员工在未验证其真实性的情况下信任并点击。

图2：钓鱼页面 一旦用户点击链接，他们将被重定向到如图2所示的钓鱼页面，该页面模仿了合法的ADP网站，使其在用户眼中显得真实。然而，仔细查看URL（hxxps://myadpaccess[.]web[.]app/signin/v1/pin4nas），这明显是一个假冒或钓鱼URL的迹象。输入用户ID和密码后，用户将被重定向到图3所示的钓鱼页面。

图3：双重验证窃取页面 在钓鱼页面的这一部分，它高度模仿了ADP登录页面，威胁攻击者会询问用户是否收到了用于双重验证的验证码，以制造一种虚假的安全感。当然，用户不会收到任何验证码，因为这是一个虚假的钓鱼页面。在急于解决问题的心理驱使下，用户可能会点击页面上的“点击此处”超链接。这是威胁攻击者用来操纵用户情绪的策略。点击超链接后，用户将被重定向到图4所示的页面。

图4：额外验证钓鱼页面 这是威胁攻击者要求进行额外验证的环节，他们模仿合法的ADP页面，使其看起来像是在确认用户身份。他们会要求提供个人信息，如用户的电子邮件地址、电话号码、出生日期和社会安全号码。信息提交后，将被窃取到由威胁攻击者托管的网络服务器，使其能够完全访问受害者的账户和个人数据。凭借这些详细信息，他们可以轻松登录用户账户，访问诸如工资单、W-2表格和401(k)账户等敏感信息。

这场钓鱼活动展示了威胁攻击者如何在心理上操纵人们。他们通过制造对公司和个人都显得紧迫且有风险的场景来利用情绪。这些攻击者已经进化，通过高度模仿合法网站并持续制造虚假的紧迫感来诱骗用户输入敏感信息。这凸显了电子邮件安全的重要性。鼓励所有员工和用户学习收到可疑邮件时应采取的正确步骤至关重要。在Cofense，我们的PDC团队结合人力情报与先进技术，以检测恶意的电子邮件攻击。我们的目标是确保客户始终感到安全并受到保护。立即与我们的专家团队预约演示以了解更多信息。