E安全10月27日讯 近日,据外媒报道,研究人员警告称,有网络钓鱼活动伪装成Microsoft Teams的自动通知消息,攻击目的在窃取Office 365收件人的登录凭证。
黑客志在取得Office 365用户登录凭证
Teams是微软最受欢迎的协作工具,特别受新冠病毒大流行期间远程上班者欢迎,使其成为攻击者常冒充的有吸引力品牌。据电子邮件安全平台供应商Abnormal Security研究人员指出,约有15,000~50,000名Office 365用户收到特定攻击活动的钓鱼消息。
研究人员22日发布分析报告表示:“由于Microsoft Teams是即时消息服务,因此接收到通知的人可能更倾向点击消息,便可以快速回复认为可能错过的任何消息。”
最初网络钓鱼邮件主题是“Teams有新活动”,看起来很像Microsoft Teams系统自动发出的通知信。信件告诉收件人有团队成员正在尝试联系他们,警告他们已错失Microsoft Teams的聊天消息,并显示假冒团队成员聊天消息的范例,要求在下周三前回复。
Abnormal Security资料科学家Erin Ludert表示,他怀疑攻击者使用更多“撒网式”(Spray)攻击策略与手法,因聊天消息提到的员工似乎并不是受攻击公司的员工。为了让受害者回应,假信件会催促收件人点击“在Teams回复”(Reply in Teams)按钮,但这会让受害者被引跳转至网络钓鱼页面。
微软成为黑客最爱冒充的品牌
“信件主文会出现3个连接,分别是“Microsoft Teams”、“(联系人)在即时消息程序发送消息”(“Contact” sent a message in instant messengers)和“在Teams回复”,”根据研究人员表示。“点击任一连接,会被导到假网站,假冒成微软登录页面。接着钓鱼页面会要求收件人输入电子邮件和密码。”
研究人员说,这网络钓鱼登录页面外观极有说服力,就跟微软登录页面没什么两样,URL开头甚至包含“microsftteams”字眼。如果收件人被说服输入自己的微软凭证,无异是将重要消息拱手交给攻击者,攻击者随后会将这些凭证用于一系列恶意用途(包括账号接管)。
随着疫情持续爆发,人们对网络攻击者利用诸如Microsoft Teams、Zoom和Skype之类的企业友善协作品牌的担忧愈益高涨。今年5月,令人信服的活动假冒Microsoft Teams通知,以窃取员工通行的Office 365凭证,展开两次共锁定多达50,000名不同Teams用户的个别攻击。
黑客最爱冒充攻击的排行榜,微软绝对是第一位,光今年第三季全球品牌网络钓鱼攻击,微软产品及服务就占将近五分之一。攻击者也使用极精细复杂的攻击手法与策略,破解Office 365用户的可视化CAPTCHAS验证码和基于令牌的授权方法。
