PhishPoint网络钓鱼攻击 绕过Microsoft Office 365保护的新型钓鱼技术

  • A+
所属分类:网络安全新闻

PhishPoint 被黑客用来绕过Microsoft Office 365保护

PhishPoint网络钓鱼攻击 绕过Microsoft Office 365保护的新型钓鱼技术

PhishPoint是一种新的SharePoint网络钓鱼攻击,在过去两周内影响了大约10%的Office 365用户。

专家们警告说,这种新技术已被诈骗者和骗子用来绕过大多数流行电子邮件服务Microsoft Office 365实施的高级威胁防护(ATP)机制。

“在过去两周内,我们检测到(并阻止了)一项新的网络钓鱼攻击,该攻击影响了 Avanan Office 365客户中的10%左右。我们估计此百分比适用于全球Office 365。PhishPoint标志着网络钓鱼攻击的发展,黑客只是通过电子邮件,使用SharePoint收集最终用户的Office 365凭据。“阅读 Avanan 发布的分析。

“从本质上讲,黑客正在使用SharePoint文件来托管网络钓鱼链接。通过将恶意链接插入SharePoint文件而不是电子邮件本身,黑客可以绕过Office 365内置安全性。“

在PhishPoint攻击情形中,受害者会收到一封包含指向SharePoint文档的链接的电子邮件。邮件的内容与要进行协作的标准SharePoint邀请相同。

用户单击虚假邀请中包含的超链接后,浏览器会自动打开SharePoint文件。

SharePoint文件内容模拟对OneDrive文件的标准访问请求,其中包含“访问文档”超链接,该超链接实际上是将受害者重定向到欺骗性Office 365登录屏幕的恶意URL。

此着陆页要求受害者提供其登录凭据。

专家强调,Microsoft保护机制会扫描电子邮件的正文,包括其中提供的链接,但由于URL指向实际的SharePoint文档,因此保护措施无法识别威胁。
“为了防范潜在威胁,Office 365会扫描电子邮件正文中的链接以查找列入黑名单或可疑的域。由于电子邮件中的链接导致实际的SharePoint文档,因此微软并未将其视为威胁。“研究人员说。“这次攻击的关键在于微软链接扫描只有一个层次,扫描电子邮件正文中的链接,但不包括在其他服务(如SharePoint)上托管的文件中。为了识别此威胁,Microsoft必须扫描共享文档中的链接以查找网络钓鱼URL。这提供了一个明显的漏洞,黑客利用它来传播网络钓鱼攻击。为了识别此威胁,Microsoft必须扫描共享文档中的链接以查找网络钓鱼URL。这显示了黑客利用传播网络钓鱼攻击的明显漏洞,“

问题是Microsoft无法将与SharePoint文档关联的链接列入黑名单。

“即使微软要扫描文件中的链接,他们也会面临另一个挑战:他们无法将URL列入黑名单,而不会将所有SharePoint文件的链接列入黑名单。如果他们将Sharepoint文件的完整URL列入黑名单,黑客可以轻松创建新的URL。“

专家建议如果在主题行中使用紧急或行动要求,则怀疑电子邮件正文中的URL。
每次显示登录页面时,都需要仔细检查Web浏览器中的地址栏,以发现链接是否指向合法资源,当然,始终使用双因素身份验证(2FA)。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!