研究人员警告,有网络钓鱼活动伪装成 Microsoft Teams 的自动通知讯息,攻击目的在窃取 Office 365 收件人的登录凭证。
骇客志在取得 Office 365 使用者登录凭证
Teams 是微软最受欢迎的协作工具,特别受新冠病毒大流行期间远端上班者欢迎,使其成为攻击者常冒充的有吸引力品牌。据电子邮件安全平台供应商 Abnormal Security 研究人员指出,约有 15,000~50,000 名 Office 365 使用者收到特定攻击活动的钓鱼讯息。
研究人员 22 日发表分析报告表示:“由于 Microsoft Teams 是即时讯息服务,因此接收到通知的人可能更倾向点击讯息,便可以快速回复认为可能错过的任何讯息。”
最初网络钓鱼邮件主旨是“Teams 有新活动”,看起来很像 Microsoft Teams 系统自动发出的通知信。信件告诉收件人有团队成员正在尝试联系他们,警告他们已错失 Microsoft Teams 的聊天讯息,并显示假冒团队成员聊天讯息的范例,要求在下周三前回复。
Abnormal Security 资料科学家 Erin Ludert 表示,他怀疑攻击者使用更多“撒网式”(Spray)攻击策略与手法,因聊天讯息提到的员工似乎并不是受攻击公司的员工。为了让受害者回应,假信件会催促收件人点击“在 Teams 回复”(Reply in Teams)按钮,但这会让受害者被引导至网络钓鱼页面。
微软成为骇客最爱冒充的品牌
“信件主文会出现 3 个连结,分别是‘Microsoft Teams’、‘(联络人)在即时讯息程式发送讯息’([Contact] sent a message in instant messengers)和‘在 Teams 回复’,”根据研究人员表示。“点击任一连结,会被导到假网站,假冒成微软登录页面。接着钓鱼页面会要求收件人输入电子邮件和密码。”
研究人员说,这网络钓鱼登录页面外观极有说服力,就跟微软登录页面没什么两样,URL 开头甚至包含“microsftteams”字眼。如果收件人被说服输入自己的微软凭证,无异是将重要讯息拱手交给攻击者,攻击者随后会将这些凭证用于一系列恶意用途(包括账号接管)。
随着疫情持续延烧,人们对网络攻击者利用诸如 Microsoft Teams、Zoom 和 Skype 之类的企业友善协作品牌的担忧愈益高涨。今年 5 月,令人信服的活动假冒 Microsoft Teams 通知,以窃取员工通行的 Office 365 凭证,展开两次共锁定多达 50,000 名不同 Teams 使用者的个别攻击。
骇客最爱冒充攻击的排行榜,微软绝对是第一位,光今年第三季全球品牌网络钓鱼攻击,微软产品及服务就占将近五分之一。攻击者也使用极精细复杂的攻击手法与策略,破解 Office 365 使用者的视觉化 CAPTCHAS 验证码和基于令牌的授权方法。
- Microsoft Teams Phishing Attack Targets Office 365 Users
(首图来源:微软)
