针对Office 365的新型网络钓鱼攻击,慎点邮件链接!

7月 24,2019by admin

以Office 365管理员为目标的网络钓鱼者有一个新的钓鱼方式:他们正在实时监测进入欺骗登录页面的凭据,如果有效,受害者将被重定向到他们真正的Office 365收件箱。
 
“如果登录失败,最终用户将收到一个假的Office 365登录错误,要求他们再次提供凭据,就像在真正的Office登录中一样。”据相关安全公司研究人员透露这种方法是我们以前从未见过的。
 
如何一步一步进行攻击
 
这一切都始于一个“邮件消息未送达的假通知”,据说来自微软:
 

 
电子邮件中的所有链接都指向一个假的Office 365登录页,该页位于Microsoft Azure Blob中,可通过Windows.NET域访问(包括有效的Microsoft SSL证书)。
 
据相关安全公司介绍,登录页面包含一个脚本,通过触发后端IMAP客户端来验证Office 365凭据,该客户端试图实时登录。
 
如果登录成功,黑客会立即开始通过IMAP协议将受害者的电子邮件同步到远程客户端,而受害者的浏览器则指向真正的Office 365门户。他们解释说,这为攻击提供了一个真正的“结论”,这样受害者就不会意识到账户登陆过程的异样。
 
如果登录失败,受害者将像在合法的Office 365站点上一样显示一个错误页面。如果用户认为登录表单可能是伪造的,那么这一步骤会有效地降低警惕,并再次尝试输入伪造的凭证。
 
最终,网络钓鱼受害者可能没有意识到他们的帐户已经被破坏了很长一段时间,让攻击者自由地进行可能对他们有利的信息更改。
 
如何保护您的Office 365帐户
 
为了保护Office 365管理和其他类型的帐户,安全研究人员建议启用多因素身份验证(MFA)并尽可能禁用IMAP访问,因为在特定情况下,可以利用IMAP绕过MFA。
 
IT员工不应该拥有日常账户的管理员权限。建议有两个独立的Office 365帐户:一个用于管理,另一个用于日常使用。此外,管理帐户尽可能不设置绑定的邮箱。
 
最后,应该告诉用户,尽管是微软自己的域,windows.net对任何人都是开放的,真正的Office 365登录页面只能在microsoftonline.com域中找到。