1万名微软电子邮件用户遭遇钓鱼攻击

2024-10-31

研究人员警告说，犯罪分子最近针对至少1万名微软电子邮件用户发动了钓鱼攻击，通过伪造来自知名的的邮件快递公司联邦快递和DHL快递的电子邮件来进行犯罪活动。

这两起事件都以微软电子邮件的用户为攻击目标，其目的是为了窃取他们的工作邮件账户凭证。他们还使用了来自Quip和Google Firebase这些合法域名上的钓鱼页面，从而让钓鱼邮件绕过邮件安全过滤器的扫描。

Armorblox的研究人员周二表示："邮件标题、发件人的名称和内容看起来都非常的真实，让受害者认为这些邮件真的分别来自于联邦快递和DHL快递，我们经常会收到联邦快递的扫描文件或DHL快递的电子邮件，大多数用户会非常信任这些电子邮件，而不会详细研究它们是否有可疑之处。"

钓鱼邮件使用Quip、Google Firebase进行攻击

这封伪造的来自美国跨国快递服务公司联邦快递的钓鱼邮件的标题是 "你有一个新的联邦快递要寄给你"，并注明了邮件的发送日期。

这封邮件中包含了一些文件的基本信息，使其看起来很正常。比如它的ID、页数和文件类型等，以及包含的一个所谓的查看文件的链接。如果收件人打开了邮件，他们会收到一个托管在Quip上的文件。Quip是Salesforce软件中的一个工具，它主要是提供文件、电子表格、幻灯片和聊天服务。

研究人员说："我们已经观察到，恶意攻击者仍然继续会在Google Sites、Box和Quip(本案中)等合法服务器上托管钓鱼页面。这些服务大多数都有免费的版本，并且易于使用，这对全世界数百万的办公人群都非常友好，但不幸的是，这同时也降低了网络犯罪分子发动网络钓鱼攻击的门槛。"

这个页面中含有联邦快递的标志，标题为 "您已收到了一些联邦快递的货件"。然后，它还含有一个链接，可以让受害者查看到所谓的文件。一旦受害者点击了这个页面，他们最终会被引导到一个类似于微软登录入口的钓鱼页面，该页面托管在谷歌Firebase上，Firebase是谷歌为创建移动和网络应用程序而开发的平台。在过去的一年里，谷歌Firebase被越来越多的网络攻击犯罪分子用来避开系统的安全检测。

值得注意的是，如果受害者在钓鱼页面上输入他们的凭证，它就会重新加载登录入口，并提示账号错误的信息，要求受害者输入正确的登录凭证。

研究人员说："这表明网站可能存在一些后端的验证机制，用来检查输入的凭证的真实性，另一种情况是，攻击者可能希望获得尽可能多的电子邮件地址和密码，无论用户输入的凭证是否正确，错误信息都会一直出现。"