微軟警告駭客持續利用Google App Engine在內的合法網域發送釣魚信件,釣魚信件內容包含冒充的Zoom視訊連線邀請連結,或騙取用戶輸入OWA或Office 365帳密。(圖片來源/WMC Global)

微軟本周稍早發出公告,駭客正利用包括Google App Engine在內的合法網域發送釣魚信件,繞過郵件安全過濾機制入侵企業,已有超過40萬的Office 365及Outlook Web Access (OWA)登入帳密遭竊走。

這波攻擊是WMC Global發現的Compact Campaign釣魚攻擊的一部份,從去年12月開始持續活動至今。釣魚信件內容包含冒充的Zoom視訊連線邀請連結,騙取用戶輸入OWA或Office 365帳密。迄今已經有40多萬筆帳密遭竊。

Compact Campaign得逞原因是它利用被駭入的合法郵件服務業者的網域發送信件,而成功避免郵件過濾封鎖。遭利用的郵件服務業者一開始以SendGrid為主, 去年多了Amazon SES (Simple Email Service),今年一月又新增Mailgun等服務。但微軟安全情報小組最近偵測到,攻擊者還使用Appspot.com網域為不同釣魚郵件收信者建立不同的URL。Appspot.com是Google App Engine的網域名。透過濫用合法網域,將可提高釣魚郵件躲過網域信譽為基礎的過濾機制。

微軟的Defender for Office 365已經可偵測這波攻擊。但微軟指出,這波釣魚郵件攻擊是利用被駭的郵件行銷帳號為之,因此微軟強烈建議企業重新檢討郵件傳送規則,允許大量例外的規則可能讓釣魚信件乘虛而入。

熱門新聞

Advertisement