伪装来自扫描仪的恶意邮件诱骗用户中招

近日，sophos警告警惕伪装来自HP扫描仪复印机的邮件，诱骗用户打开恶意链接，感染木马。

在商务工作环境下，往往是拿纸质件去扫描、复印，然后扫描仪或复印机就会自动往工作邮箱发送带附件的邮件，附件就是刚刚复印完或扫描完的电子件。而攻击者正是利用这个使用习惯，伪造来自这些设备给用户发邮件，过往也发现过附件为恶意的PDF文件。

而近日，sophos监测到，有恶意邮件伪造来自HP设备，给用户发送邮件，内容是提示扫描完毕给用户发送电子版的扫描件。诱骗用户点击恶意链接地址，访问一个俄罗斯的网页。

目前sophos识别其为Mal/ExpJS-N，如下图所示：

当然你可以认为这样也中招的人很少，但是，如果是经常处理文档（有可能是机密文档），经常会扫描的工作人员，中招的可能性就相对会大了。攻击方总是挖空心思，撒网式攻击，而防守方却需要花费大量成本提高员工的安全意识才能防范。