微软安全警告：出现锁定 Office 365 用户且“比以往更狡滑”的新网络钓鱼攻击

微软安全情报团队已向 Office 365 用户和管理员发出安全警告，提醒特别注意会采用假冒寄件人地址的“狡猾”网络钓鱼（Fishing）电子邮件。 

观察到专门锁定 Office 365 组织之主动攻击活动后，微软随即发出安全警告，攻击者采用让人信任的电子邮件和多种规避网络钓鱼侦测的技术，包括 Office 365 网络钓鱼页面、Google 云端 Web App 托管和会怂恿受害者输入凭证的遭劫持 SharePoint 网站。

“一起主动式网络钓鱼活动采用看起来合法的原始寄件人电子邮件地址、包含目标使用者名称和网域的假冒显示寄件人地址，以及模仿合法服务以尝试躲避邮件过滤机制的显示名称等巧妙诡计组合手法。”微软安全情报团队更新推文指出。“原始寄件人地址包含变体字形的‘推荐’单字，并使用包括 com[.]com 网域等各种 TLD 顶级网域，这常被网络钓鱼活动用来进行诈骗和相似域名抢注。”

网络钓鱼是BEC变脸诈骗的关键

网络钓鱼一直都是企业必须解决的棘手问题，需要定期更新网络钓鱼安全意识训练和技术解决方案，例如对所有账号进行多因素身份认证，这也是微软与美国网络安全暨基础架构安全局（CISA）都强烈推荐的安全做法。

根据 FBI 的最新数据指出，网络钓鱼是变脸诈骗（Business Email Compromise，BEC）攻击的关键组成部分，光去年就导致美国人损失超过 42 亿美元。它比起专门锁定名人与高知名度企业的勒索软件攻击代价要高得多。依赖受劫持电子邮件账号或貌似合法电子邮件地址的变脸诈骗很难被过滤与侦测，这是因为它们混合了正常的预期流量所致。

网络钓鱼组织在显示名称使用 Microsoft SharePoint 诱骗受害者点击恶意连结。该电子邮件伪装成“档案分享”请求，以存取伪造的“员工报告”、“奖金”、“价目表”以及在 Excel 试算表建立其他内容。还包含会导到网络钓鱼页面和大量微软品牌的连结。

虽然令人信任的微软标志散落于电子邮件，但主要网络钓鱼 URL 依赖 Google 储存资源，将受害者指向 Google App Engine 网域 AppSpot。微软强调指出：“这些电子邮件含两个格式错误 HTTP 表头的 URL。主要的网络钓鱼 URL 是指向 AppSpot 网域的 Google 储存资源，最终以 Office 365 网络钓鱼页面提供另一个 Google User Content 网域前，会要求使用者登录。”

嵌入在通知设定的第二个 URL，会将受害者连结到被劫持的 SharePoint 站点。这两个 URL 都需要登录才能到达最终页面，让攻击避开沙盒。微软指出，这起活动“比以往更狡猾”。

微软大力宣传自家“安全连结”式网络钓鱼防护功能

微软一直在宣传自家“安全连结”式 Defender for Office 365 网络钓鱼防护功能，一旦使用者点击某个与已知网络钓鱼页面清单匹配的连结时，就会“引爆”网络钓鱼电子邮件。

微软另外在 GitHub 公开会连结到诈骗电子邮件的恶意基础设施细节，且这类诈骗电子邮件会模仿 SharePoint 和其他产品以执行凭证诈骗攻击。微软补充表示：“众所周知的，骇客还会使用像是 Google、微软及 Digital Ocean 等合法 URL 基础设施代管网络钓鱼页面。”

• This new phishing attack is ‘sneakier than usual’, Microsoft warns

（首图来源：Pixabay）