微軟安全警告:出現鎖定 Office 365 用戶且「比以往更狡滑」的新網路釣魚攻擊
微軟安全情報團隊已向 Office 365 用戶和管理員發出安全警告,提醒特別注意會採用假冒寄件人地址的「狡猾」網路釣魚(Fishing)電子郵件。
觀察到專門鎖定 Office 365 組織之主動攻擊活動後,微軟隨即發出安全警告,攻擊者採用讓人信任的電子郵件和多種規避網路釣魚偵測的技術,包括 Office 365 網路釣魚頁面、Google 雲端 Web App 託管和會慫恿受害者輸入憑證的遭劫持 SharePoint 網站。
「一起主動式網路釣魚活動採用看起來合法的原始寄件人電子郵件地址、包含目標使用者名稱和網域的假冒顯示寄件人地址,以及模仿合法服務以嘗試躲避郵件過濾機制的顯示名稱等巧妙詭計組合手法。」微軟安全情報團隊更新推文指出。「原始寄件人地址包含變體字形的『推薦』單字,並使用包括 com[.]com 網域等各種 TLD 頂級網域,這常被網路釣魚活動用來進行詐騙和相似域名搶註。」
網路釣魚是BEC變臉詐騙的關鍵
網路釣魚一直都是企業必須解決的棘手問題,需要定期更新網路釣魚安全意識訓練和技術解決方案,例如對所有帳號進行多因素身分認證,這也是微軟與美國網路安全暨基礎架構安全局(CISA)都強烈推薦的安全做法。
根據 FBI 的最新數據指出,網路釣魚是變臉詐騙(Business Email Compromise,BEC)攻擊的關鍵組成部分,光去年就導致美國人損失超過 42 億美元。它比起專門鎖定名人與高知名度企業的勒索軟體攻擊代價要高得多。依賴受劫持電子郵件帳號或貌似合法電子郵件地址的變臉詐騙很難被過濾與偵測,這是因為它們混合了正常的預期流量所致。
網路釣魚組織在顯示名稱使用 Microsoft SharePoint 誘騙受害者點擊惡意連結。該電子郵件偽裝成「檔案分享」請求,以存取偽造的「員工報告」、「獎金」、「價目表」以及在 Excel 試算表建立其他內容。還包含會導到網路釣魚頁面和大量微軟品牌的連結。
雖然令人信任的微軟標誌散落於電子郵件,但主要網路釣魚 URL 依賴 Google 儲存資源,將受害者指向 Google App Engine 網域 AppSpot。微軟強調指出:「這些電子郵件含兩個格式錯誤 HTTP 表頭的 URL。主要的網路釣魚 URL 是指向 AppSpot 網域的 Google 儲存資源,最終以 Office 365 網路釣魚頁面提供另一個 Google User Content 網域前,會要求使用者登錄。」
嵌入在通知設定的第二個 URL,會將受害者連結到被劫持的 SharePoint 站點。這兩個 URL 都需要登錄才能到達最終頁面,讓攻擊避開沙盒。微軟指出,這起活動「比以往更狡猾」。
微軟大力宣傳自家「安全連結」式網路釣魚防護功能
微軟一直在宣傳自家「安全連結」式 Defender for Office 365 網路釣魚防護功能,一旦使用者點擊某個與已知網路釣魚頁面清單匹配的連結時,就會「引爆」網路釣魚電子郵件。
微軟另外在 GitHub 公開會連結到詐騙電子郵件的惡意基礎設施細節,且這類詐騙電子郵件會模仿 SharePoint 和其他產品以執行憑證詐騙攻擊。微軟補充表示:「眾所周知的,駭客還會使用像是 Google、微軟及 Digital Ocean 等合法 URL 基礎設施代管網路釣魚頁面。」
(首圖來源:Pixabay)