新型网络钓鱼再现身！通过电子邮件绕开Microsoft Office 365保护

​

一个事实：不管公司如何努力保护客户或雇员，网络钓鱼都是存在的。

安全研究人员警告称，网络犯罪分子和电子邮件诈骗者正在使用一种新的网络钓鱼攻击，以绕过诸如Microsoft Office 365等广泛使用的电子邮件服务实现的高级威胁防护（Advanced Threat Protection，ATP）机制。

Microsoft Office 365是一个覆盖面极广的软件，为用户提供好几种不同的在线服务，包括Exchange Online、SharePoint Online、Lync Online和其他Office Web应用程序，如Word、Excel、PowerPoint、Outlook和OnNoint。

在这些服务的顶端，微软还提供了人工智能和机器学习的电力安全保护，通过一级深入扫描电子邮件机构中的链接，寻找所有的黑名单或可疑域名，以帮助防范潜在的网络钓鱼和其他威胁。

但是正如我所说的，钓鱼者总是能找到绕过安全保护的方法，以此来伤害用户。

就在一个月前，我们发现，骗子们使用了ZeroFont技术来模仿一家受欢迎的公司，并诱骗用户分发他们的个人和银行信息。

在2018年5月，网络罪犯被发现利用Office 365的Safe Links中无法识别的安全特征，分裂了恶意URL，替换了部分超链接，最终将受害者定向到钓鱼网站。

微软最终解决了这个问题，但现在发现，网络罪犯使用了一种新的伎俩——通过将恶意链接插入SharePoint文档中，来绕过Office 365内置的安全保护并且以此骗过被攻击的用户。

同一个云安全公司Avanan发现了这两个网络钓鱼攻击，并在野生目标 Office 365 用户中发现了一个新的钓鱼邮件活动，这些用户正在接收来自微软的电子邮件，其中包含了指向 SharePoint 文档的链接。

在这种网络钓鱼攻击中，电子邮件消息的正文看起来与标准的SharePoint邀请相同，一旦用户点击电子邮件中的超链接，浏览器就会自动打开 SharePoint 文件。

相关人员称，SharePoint 文件的内容模仿 OneDrive 文件的标准访问请求，但文件中的“Access文档”按钮实际上是恶意URL的超链接，接下来，恶意链接将受害者定向到假的 Office 365 登录屏幕，要求用户输入他/她的登录凭据，最后由黑客完成收割。

本来，微软会扫描电子邮件的主体，包括其中提供的链接，但由于最新电子邮件活动中的链接指向的是实际的SharePoint文档，所以系统没有将其标识为“有威胁”。

研究人员声称：

为了识别这种威胁，微软将不得不扫描钓鱼URL共享文档中的链接，这表明黑客们利用了一个明显的漏洞来传播网络钓鱼攻击。

即使微软扫描了文件中的链接，它们也将面临另一个挑战：它们无法在不把整个SharePoint文件列入黑名单的情况下，单独将文件中的URL列入黑名单，就算他们将整个SharePoint文件包括URL列入黑名单，黑客也可以轻松地创建一个新的。

因此，没有任何一种保护能完全使用户免遭网络钓鱼攻击，除非他们自己本身已经被训练到有足够的能力去避开这些攻击。

根据云安全公司的说法，在过去两周内，这一新的网络钓鱼攻击针对所调查Office 365客户中的10%进行，公司认为同样的百分比适用于全球的Office 365用户。

因此，为了保护你自己，即使你正在接收看起来安全的电子邮件，如果它标注了“紧急”或“待办事项”，你就应该对电子邮件中的URL产生警惕。

当呈现登录页面时，建议你检查Web浏览器中的地址栏，以明确该URL是否是由合法服务托管的。

最重要的是，大多数账户都是使用双重身份验证（2FA）的，所以即使攻击者获得了正确的密码，他们仍然需要为第二认证步骤而斗争。

然而，研究人员注意到，如果这种攻击不是引导用户进入钓鱼网页，而是涉及到触发恶意软件下载，攻击将在用户点击并审查URL时造成损害。

翻译自：https://thehackernews.com/2018/08/microsoft-office365-phishing.html

转载自： 嘶吼