网络罪犯劫持合法的网站Comms

卡巴斯基研究人员发现，犯罪分子正在越来越越来越多地利用网站上的注册，订阅和反馈表格，以将垃圾邮件内容或网络钓鱼链接插入全球范围内的尊重和值得信赖的公司的确认电子邮件。

这是犯罪分子将其垃圾邮件和网络钓鱼消息交付给收件人的最新方法之一，同时绕过现有内容过滤器。

这些方法通常来自具有良好声誉的合法源的劫持通信，以便用户无法忽略消息。

这为公司创造了一个挑战，因为这种恶意内容似乎代表他们派遣，可能会妥协他们的客户信任甚至导致个人数据泄漏。

研究人员发现，一种越来越受欢迎的方法利用几乎每个公司都有兴趣接收客户的反馈，以提高服务质量，客户保留和声誉的事实。

为此，公司要求客户注册个人账户，订阅新闻通讯或与网站上的反馈表格沟通，以提出问题或留下建议。

研究人员警告说，这些是攻击者正在利用的机制，并指出所有三种机制都需要客户的姓名和电子邮件地址。

根据卡巴斯基研究人员的说法，诈骗者正在将垃圾邮件内容和网络钓鱼链接添加到此邮件中。他们只是将受害者的电子邮件地址添加到注册或订阅表单中，并键入其消息而不是名称。

然后，该网站将向该地址发送修改后的确认消息，在文本的开头而不是收件人的名称时包含广告或网络钓鱼链接。

“大多数这些修改的字母都与旨在获取访客的个人数据的在线调查相关联，”卡巴斯基安全专家Maria Vergelis说。

“来自可靠源的通知通常随着内容过滤器轻松传递，因为它们是来自一个信誉良好的公司的官方消息，这就是为什么这种垃圾邮件电子邮件的新方法如此有效和担忧，”她说。

为了让公司从可能的声誉损失，卡巴斯基建议他们检查反馈表格如何在公司网站上工作;嵌入几个验证规则，当尝试注册一个不当符号的名称时会导致错误;并进行本网站的漏洞评估。