網釣郵件利用遭駭SharePoint平臺，躲過安全閘道偵測散布

安全廠商偵測一波網釣郵件，利用微軟SharePoint避過賽門鐵克郵件閘道的偵測，以攻擊銀行業用戶。

這波網釣郵件來自英國一家法律顧問公司被駭的帳號，內文佯稱是一份法律文件，並包含一個連結要求銀行員工前往下載。點選後用戶會被導向SharePoint網站，要求使用者下載一份OneNote文件。這個網站是以被駭SharePoint帳號建立。研究人員指出，駭客所利用的管道在於，賽門鐵克郵件閘道與其他邊界防護技術不會過濾寄自微軟SharePoint的連結，而使得客戶曝露於惡意文件。

當用戶點選並下載惡意OneNote文件後會再出現一個連結，將用戶導向真正的釣魚網頁，它架在另一臺被駭Web伺服器之上，偽造OneDrive for Business登入入口網頁以騙取用戶帳密。研究人員指出，它提供被害者以Office 365帳號或其他郵件如Gmail帳號登入，這是常見蒐集電子郵件帳密的手法。分析被駭伺服器的檔案有其他人Gmail登入帳號，顯示已有其他人郵件帳號被駭。研究人員判斷，這波攻擊是使用BlackShop Tools打造及販售的網釣攻擊套件。

駭客利用Google Drive或SharePoint來躲避安全產品過濾，得以順利散布網釣郵件情形日漸普遍。今年稍早也有研究人員發現新式網釣手法，利用假冒來自SharePoint的電子郵件，邀請受害者掃描QR Code來開啟文件。