駭侵者針對 Office 365 遠距工作用戶發動釣魚郵件詐騙攻擊

發布單位 : TWCERT/CC              更新日期:109-06-10


文章出處 : https://www.twcert.org.tw/tw/cp-104-3689-33dfd-1.html

資安廠商發現,近來有一波針對遠距工作 Office 365 用戶的釣魚郵件詐騙攻擊,佯稱用戶所屬單位要調整 VPN 設定,實則騙取駭入該單位所需的各項資訊。

Email 資安防護資安廠商 Abnormal Security 日前發表研究報告,指出該公司發現近來有一波針對遠距工作 Office 365 用戶的釣魚郵件詐騙攻擊;在釣魚郵件中,駭侵者佯稱用戶所屬單位要調整 VPN 設定,要求用戶輸入登入其 Office 365 的帳號密碼,以騙取駭入該單位所需的各項資訊。

廠商說,該公司在這波攻擊中已經觀察到至少 15,000 起針對不同目標的攻擊活動。由於疫情關係,全球有許多大型公司要求員工透過 VPN 在家工作,因此這波假稱更改 VPN 設定的釣魚攻擊相當有效。

攻擊者在發出的詐騙信件中,會竄改 sender 欄位,使用目標受害者所屬公司的網域名稱發送,以降低被駭者的戒心;駭客更會使用多個不同的 Email 發送地址和伺服器,以降低被追蹤發現的可能性。

但在信中駭客置入的惡意網頁連結,則都是同一個網址;這表示各個不同來源的釣魚攻擊,其實都由同一組駭侵者所發動。

受害者一旦誤點信中的釣魚連結,就會被導向到一個用來詐騙的虛假 Office 365 登入畫面;而且駭客把這個頁面放在微軟自己的 Azure Blob 雲端儲存空間,所以網址不但會顯示為「web.core.windows.net」,而且還會顯示該網頁擁有微軟簽發的 SSL 加密憑證,更為降低用戶的警覺。

資安廠商指出,看到這類網頁的用戶,其實更應提高警覺;因為這類網頁只應該顯示為各員工自己公司擁有的網域名稱,不應該是外部雲端空間的網址。


相關連結

  1. Abnormal Attack Stories: VPN Impersonation Phishing
  2. Office 365 phishing baits remote workers with fake VPN configs

歡迎訂閱 TWCERT/CC 電子報 : https://www.twcert.org.tw/tw/sp-epap-subform-1.html

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料

釘選至 Pinterest