以 Office 365 為目標的網絡釣魚活動利用品牌名稱

研究人員發現一種復雜的新型網絡釣魚活動，該活動使用知名的品牌名稱繞過安全過濾器，并誘騙受害者放棄Microsoft Office 365憑據去訪問公司網絡。

最新的報告來自與Check Point軟件首次觀察到的攻擊，主要針對歐洲企業，以及亞洲和中東地區，在四月份時候，他們發現了發送給受害者名為“Office 365的語音郵件”的電子郵件。

這些電子郵件試圖誘使受害者點擊個鏈接，鏈接將跳轉到Office 365帳戶。如果受害者點擊了鏈接，他們將被重定向到看似Office 365登錄頁面，但實際上是網絡釣魚頁面。

威脅情報情報機構經理洛特姆·芬克爾斯滕（Lotem Finkelsteen）在報告中說。最初攻擊似乎是“經典的Office 365網絡釣魚”。但是，經過調查研究人員發現這是一種“杰作策略”，該策略利用“知名品牌在誘騙受害者時避開安全防護”。

Finkelsteen說：“現在，這是公司在網絡中立足的一項頂級技術。訪問公司郵件可以使黑客無限制地訪問公司的業務，例如交易，財務報告，從可靠來源發送公司內部的電子郵件，密碼甚至公司云資產的地址，”

然而，進行這種攻擊絕非易事。復雜的程度要求競選活動背后的人員要不加注意地訪問三星和牛津大學的服務器，這需要對它們的工作方式有深如的了解。

在這次事件中，研究人員觀察到黑客使用了托管在Adobe服務器上的三星域，該域自2018年網絡星期一事件以來一直未使用，該技術被稱為“開放重定向”，從而使自己“合法三星域的外觀成功誘騙了受害者”。研究人員說。

該方法基本上是網站上的URL，任何人都可以使用該URL將用戶重定向到另一個站點，從而增加了惡意電子郵件中使用的URL的合法性。在這種情況下，電子郵件中的鏈接將重定向到以前使用的Adobe服務器，從而使網絡釣魚電子郵件中使用的鏈接“是受信任的Samsung域的一部分，在不知不覺中將受害者重定向到由黑客托管的網站。

通過使用特定的Adobe Campaign鏈接格式和合法域，為攻擊者增加了電子郵件繞過基于信譽，黑名單和URL模式的電子郵件安全解決方案 的機會。”

在過去的一年中觀察到的攻擊事件，黑客在釣魚活動中使用Google和Adobe開放重定向來增加垃圾郵件中使用的URL的合法性。

電子郵件本身還使用了知名品牌來繞過安全保護。報告稱，它們主要來自多個生成的地址，這些地址屬于牛津大學不同部門的合法子域。研究人員寫道，這表明黑客以某種方式找到了一種方法來濫用牛津大學的簡單郵件傳輸協議（SMTP）服務器，以通過發件人域安全措施所需的信譽檢查。

Check Point表示已將調查結果告知牛津大學，Adobe和三星，以便他們可以采取適當行動。