YAQSecurity 2018-08-19
一个事实:不管公司如何努力保护客户或雇员,网络钓鱼都是存在的。
安全研究人员警告称,网络犯罪分子和电子邮件诈骗者正在使用一种新的网络钓鱼攻击,以绕过诸如Microsoft Office 365等广泛使用的电子邮件服务实现的高级威胁防护(Advanced Threat Protection,ATP)机制。
Microsoft Office 365是一个覆盖面极广的软件,为用户提供好几种不同的在线服务,包括Exchange Online、SharePoint Online、Lync Online和其他Office Web应用程序,如Word、Excel、PowerPoint、Outlook和OnNoint。
在这些服务的顶端,微软还提供了人工智能和机器学习的电力安全保护,通过一级深入扫描电子邮件机构中的链接,寻找所有的黑名单或可疑域名,以帮助防范潜在的网络钓鱼和其他威胁。
但是正如我所说的,钓鱼者总是能找到绕过安全保护的方法,以此来伤害用户。
就在一个月前,我们发现,骗子们使用了ZeroFont技术来模仿一家受欢迎的公司,并诱骗用户分发他们的个人和银行信息。
在2018年5月,网络罪犯被发现利用Office 365的Safe Links中无法识别的安全特征,分裂了恶意URL,替换了部分超链接,最终将受害者定向到钓鱼网站。
微软最终解决了这个问题,但现在发现,网络罪犯使用了一种新的伎俩——通过将恶意链接插入SharePoint文档中,来绕过Office 365内置的安全保护并且以此骗过被攻击的用户。
同一个云安全公司Avanan发现了这两个网络钓鱼攻击,并在野生目标 Office 365 用户中发现了一个新的钓鱼邮件活动,这些用户正在接收来自微软的电子邮件,其中包含了指向 SharePoint 文档的链接。
在这种网络钓鱼攻击中,电子邮件消息的正文看起来与标准的SharePoint邀请相同,一旦用户点击电子邮件中的超链接,浏览器就会自动打开 SharePoint 文件。
相关人员称,SharePoint 文件的内容模仿 OneDrive 文件的标准访问请求,但文件中的“Access文档”按钮实际上是恶意URL的超链接,接下来,恶意链接将受害者定向到假的 Office 365 登录屏幕,要求用户输入他/她的登录凭据,最后由黑客完成收割。
本来,微软会扫描电子邮件的主体,包括其中提供的链接,但由于最新电子邮件活动中的链接指向的是实际的SharePoint文档,所以系统没有将其标识为“有威胁”。
研究人员声称:
为了识别这种威胁,微软将不得不扫描钓鱼URL共享文档中的链接,这表明黑客们利用了一个明显的漏洞来传播网络钓鱼攻击。
即使微软扫描了文件中的链接,它们也将面临另一个挑战:它们无法在不把整个SharePoint文件列入黑名单的情况下,单独将文件中的URL列入黑名单,就算他们将整个SharePoint文件包括URL列入黑名单,黑客也可以轻松地创建一个新的。
因此,没有任何一种保护能完全使用户免遭网络钓鱼攻击,除非他们自己本身已经被训练到有足够的能力去避开这些攻击。
根据云安全公司的说法,在过去两周内,这一新的网络钓鱼攻击针对所调查Office 365客户中的10%进行,公司认为同样的百分比适用于全球的Office 365用户。
因此,为了保护你自己,即使你正在接收看起来安全的电子邮件,如果它标注了“紧急”或“待办事项”,你就应该对电子邮件中的URL产生警惕。
当呈现登录页面时,建议你检查Web浏览器中的地址栏,以明确该URL是否是由合法服务托管的。
最重要的是,大多数账户都是使用双重身份验证(2FA)的,所以即使攻击者获得了正确的密码,他们仍然需要为第二认证步骤而斗争。
然而,研究人员注意到,如果这种攻击不是引导用户进入钓鱼网页,而是涉及到触发恶意软件下载,攻击将在用户点击并审查URL时造成损害。
翻译自:https://thehackernews.com/2018/08/microsoft-office365-phishing.html
转载自: 嘶吼