Fortinet：美國總統大選暗網活躍釣魚詐騙、冒充候選人惡意域名註冊

2024-10-28 benny

全方位自動化網絡保安服務方案供應商Fortinet今日發佈FortiGuard Labs的威脅情報報告《針對2024年美國總統選舉的威脅行為者》，分析針對美國政府部門、選民及選舉過程相關的威脅。Fortinet首席安全策略長兼全球威脅情報副總裁Derek Manky表示：「網絡攻擊者，包括國家支援的威脅行為者和黑客組織，往往在選舉等重大事件前變得活躍。」

Derek Manky表示：「隨著2024年美國總統大選臨近，認識和了解可能影響選舉過程完整性和公信力以及參選公民福祉的網絡威脅，顯得尤其重要。保持警惕、識別並分析潛在的網絡威脅和漏洞，對於防範和抵禦可能利用關鍵時刻發動有針對性的網絡攻擊至關重要，這些攻擊甚至可能干擾或影響選舉結果。」

**Fortinet首席安全策略長兼全球威脅情報副總裁Derek Manky**

威脅情報報告的主要發現包括：

針對2024年美國總統大選選民的釣魚詐騙：威脅行為者在暗網上出售價格低廉的釣魚工具包，透過冒充總統候選人及其競選活動來瞄準選民和捐贈者。
惡意域名註冊數量上升：自2024年初以來，已有超過1,000個新的潛在惡意域名註冊，這些域名遵循特定模式，並包含選舉相關內容及候選人，顯示威脅行為者正利用選舉帶來的高度關注來誘騙毫無戒心的目標，並可能進行惡意活動。
暗網活動的現況：數十億條來自美國的記錄在暗網論壇上出售，包括社會安全號碼 (SSN)、個人識別資訊 (PII) 及憑證，這些資訊可能會被用於虛假訊息活動，並導致詐騙活動、釣魚詐騙及賬戶被盜用；暗網論壇上約 3%的貼文涉及企業和政府部門的資料庫。
勒索軟件攻擊的現況： FortiGuard Labs研究人員指出，根據所觀察的洩漏網站，針對美國政府的勒索軟件攻擊與去年同期相比增加了28%。

美國總統大選詐騙活動遍佈暗網

網絡攻擊者，包括國家支援的威脅行為者和黑客組織，在選舉臨近前愈趨活躍。

FortiGuard Labs研究團隊觀察到，這些威脅行為者以每套1,260美元的價格出售專門用來冒充總統候選人的釣魚工具包，目的是收集個人資訊，如姓名、地址及信用卡 (捐款) 等詳細資料。

自2024年1月以來，FortiGuard Labs研究人員已識別出超過1,000個新註冊的惡意域名，這些域名包含選舉相關詞彙及知名政治人物。當中亦包括偽造的籌款網站，例如以secure[.]actsblues[.]com的虛假域名，試圖冒充為美國非營利籌款平台和政治行動委員會ActBlue (secure[.]actblue[.]com) 的合法網站。

這些選舉相關網站最常使用的兩個託管服務供應商是AMAZON-02和CLOUDFLARENET。對Amazon Web Services (AWS) 和Cloudflare等主要託管平台的依賴顯示，威脅行為者正利用這些聲譽良好的服務商來提升其惡意域名的合法性與彈性。

大部分域名顯著集中在少數IP地址上，顯示威脅行為者採取集中化的方式有效率地管理多個惡意域名，以執行大規模的網絡攻擊活動。

針對美國的個人資料交易屢見不鮮

FortiGuard Labs的分析顯示，暗網論壇上存在大量不同針對美國的資料庫，包括社會安全號碼 (SSN)、用戶名稱、電郵地址、密碼、信用卡資料、出生日期和其他個人識別資訊 (PII)，這些資料可能被用來削弱 2024 年美國大選的完整性。具體重點包括：

超過13億條組合列表，其中包括用戶名稱、電郵地址和密碼，意味著有相當大的憑證填充攻擊風險。在這類攻擊中，網絡犯罪分子會利用這些竊取的憑證，在未經授權的情況下存取帳戶，造成一個有效且嚴重的安全隱患。
發現超過30萬條信用卡資料，包括CVV、持卡人姓名、卡號、有效期及出生日期，反映針對選民及選舉官員的潛在金融詐騙風險。
超過20億條用戶資料庫在暗網上曝光，顯示身份盜用及目標性釣魚攻擊的風險顯著增加。
暗網論壇上10%的貼文與社會安全號碼資料庫有關，這會增加個人資料外洩的風險，造成重大威脅。