使用新方法绕过Microsoft Office 365保护的电子邮件钓鱼者

安全研究人员一直在警告一种新的网络钓鱼攻击，网络犯罪分子和电子邮件诈骗者正在利用这种攻击绕过由广泛使用的电子邮件服务（如Microsoft Office 365）实施的高级威胁保护（ATP）机制。

Microsoft Office 365是一款为用户提供多种在线服务的综合解决方案，包括Exchange online、SharePoint online、Lync online和其他Office Web应用程序，如Word、Excel、PowerPoint、Outlook和OneNote。

除了这些服务之外，微软还提供人工智能和机器学习支持的安全保护，通过深入一级扫描电子邮件正文中的链接，寻找任何被列入黑名单或可疑的域，帮助抵御潜在的网络钓鱼和其他威胁。

但正如我所说，网络钓鱼者总是想办法绕过安全保护，以伤害用户。

就在一个多月前，这些骗子被发现使用ZeroFont技术模仿一家受欢迎的公司，并诱骗用户泄露他们的个人和银行信息。
2018年5月，还发现网络犯罪分子拆分恶意URL，Office 365中的安全链接安全功能无法识别和替换部分超链接，最终将受害者重定向到钓鱼网站。

SharePoint网络钓鱼攻击是如何工作的？

这些问题后来由微软最终解决，但现在发现网络钓鱼者使用了一种新的伎俩，绕过Office 365内置的安全保护和网络钓鱼用户，这一次是通过在SharePoint文档中插入恶意链接。

发现上述两起网络钓鱼攻击的同一家云安全公司Avanan在野外发现了一个新的网络钓鱼电子邮件活动，目标是Office 365用户，他们正在接收来自Microsoft的电子邮件，其中包含指向SharePoint文档的链接。
电子邮件的正文看起来与某人发出的标准SharePoint合作邀请完全相同。用户单击电子邮件中的超链接后，浏览器会自动打开一个SharePoint文件。

研究人员称，SharePoint文件的内容模拟了对OneDrive文件的标准访问请求，但文件上的“访问文档”按钮实际上与恶意URL超链接。

然后，恶意链接将受害者重定向到一个伪造的Office 365登录屏幕，要求用户输入他/她的登录凭据，然后被黑客获取。
微软扫描了一封电子邮件的正文，包括其中提供的链接，但由于最新电子邮件活动中的链接指向一个实际的SharePoint文档，该公司没有将其视为威胁。

研究人员说：“为了识别这种威胁，微软将不得不扫描共享文档中的链接，寻找钓鱼URL。这显然是黑客利用的一个漏洞来传播钓鱼攻击”。

“即使微软扫描文件中的链接，他们也将面临另一个挑战：如果不将指向所有SharePoint文件的链接列入黑名单，他们就无法将URL列入黑名单。如果他们将SharePoint文件的完整URL列入黑名单，黑客可以轻松创建一个新的URL”。

因此，除非用户没有接受足够的培训来检测此类网络钓鱼企图，否则任何保护都无法提醒用户网络钓鱼。
据云安全公司称，在过去两周内，10%的Office 365客户利用了这一新的钓鱼攻击，该公司认为全球Office 365用户也受到了同样的影响。

因此，为了保护自己，如果邮件正文中使用了紧急或主题行中要求的操作，即使你收到的邮件看起来很安全，你也应该怀疑邮件正文中的URL。
当出现登录页面时，建议您始终检查web浏览器中的地址栏，以了解URL是否由合法服务托管。

最重要的是，始终使用双因素身份验证（2FA），因此即使攻击者能够访问您的密码，他们仍然需要为第二个身份验证步骤而奋斗。

然而，研究人员指出，如果这次攻击涉及触发恶意软件下载的链接，而不是将用户指向网络钓鱼页面，“那么当用户点击并调查URL时，攻击就会造成损害”。