新闻中心

Hot News

PhishPoint网络钓鱼攻击 - 一种绕过微软Office 365保护的新技术

云端信息安全公司Avanan的资安专家发现了一种名为PhishPoint的新技术,被黑客用来绕过微软Office 365保护。


PhishPoint是一种新的SharePoint网络钓鱼攻击,在过去两周内影响了大约10%的Office 365使用者。专家们警告,这种新技术已被诈骗份子用来绕过大多数知名的电子邮件服务用到的微软Office 365的高级威胁防护(ATP)机制。

Avanan发布的分析:『在过去两周内,我们检测到(并阻止了)一项新的网络钓鱼攻击,该攻击影响了Avanan Office 365客户中的10%左右。我们估计此百分比适用于全球Office 365。PhishPoint标志着网络钓鱼攻击的发展,黑客只是透过电子邮件,使用SharePoint收集终端使用者的Office 365凭证。』『从本质上讲,黑客正在使用SharePoint文件来托管网络钓鱼链接。透过将恶意连结插入SharePoint文件而不是电子邮件本身,黑客可以绕过Office 365内建的安全性。』

在PhishPoint攻击情形中,受害者会收到一封包含指向ShrarePoint文件的链接的电子邮件。邮件的内容与要进行协作的标准SharePoint邀请相同。

使用者点击假的邀请中引入的超链接后,浏览器会自动打开SharePoint文件。SharePoint文件内容模拟对OneDrive文件的标准存取请求,其中包含『存取文件』超链接,该超链接实际上是将受害者重新导向到诈骗的Office 365登入画面的恶意网址。 此着陆页面要求受害者提供登入凭证。专家强调,微软保护机制会扫描电子邮件的正文,包括其中提供的连结,但由于网址指向实际的SharePoint文件,因此保护措施无法识别威胁。

研究人员表示:『为了防范潜在威胁,Office 365会扫描电子邮件本文中的链接以查找列入黑名单或可疑的域名。由于电子邮件中的链接导致实际的SharePoint文件,微软并未将其识别为威胁。这次攻击的关键在于微软扫描链接只有一层,扫描电子邮件本文中的链接,但不在其他服务(如SharePoint)上托管的文件中。为了识别此威胁,微软必须扫描共享文件中的链接以查找网络钓鱼网址。这提供了一个明显的漏洞,黑客利用它来散播网络钓鱼攻击。』

问题是微软无法将与SharePoint文件关联的链接栏入黑名单。 『即使微软要扫描文件中的链接,他们也会面临另一个挑战:他们无法将网址列入黑名单,而不会将所有SharePoint文件的链接栏入黑名单。如果他们将SharePoint文件的完整网址列入黑名单,黑客可以轻松建立新的网址。』

专家建议如果在主旨列中有发现使用紧急或行动要求,则怀疑电子邮件本文中的网址。每次显示登入页面时,都需要仔细检查网页浏览器中的地址栏,以发现链接是否指向合法资源,当然,始终都要使用双因子身份验证(2FA)。如果您对Avanan在过去几个月内发现的其他攻击技术感兴趣,请查看标题为『绕过真正的网络钓鱼活动中使用的Office 365保护的五种技术』文章。 https://resources.infosecinstitute.com/five-techniques-to-bypass-office-365-protections-used-in-real-phishing-campaigns/

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功