假冒 Office 365 未送達郵件,新式網路釣魚曝光

作者 | 發布日期 2018 年 12 月 27 日 8:00 | 分類 Microsoft , Windows , 網路 follow us in feedly


網站 Bleeping Computer 先前報導,近日網路出現新釣魚郵件,不法分子發送假扮 Office 365 無法送出郵件的提示信,嘗試盜取用戶的密碼。最先由 ISC Handler 的 Xavier Mertens 發現,最妙的是釣魚郵件會偽裝成多封郵件未能送達的通知,提示用戶「再次寄出」信件(下圖)。

一旦用戶點擊「再次寄出」按鈕,就會跳轉到跟 Microsoft 登入頁設計相同的釣魚網站,然後要求用戶輸入帳戶和密碼。釣魚網站此時會利用 Javascript 將用戶的帳戶和密碼傳給不法分子,再將用戶帶到正式的 Microsoft Office 365 登入網頁。其實 Microsoft 並不會在郵件傳送失敗後,透過信件提供「再次寄出」選項,用戶必須回到 Outlook 手動重新發送郵件。

另外,當郵件因種種原因無法寄出,系統會馬上通知用戶(上圖),不會過了很久才突然彈出通知。最後,用戶輸入帳戶名稱和密碼前,只要檢查一下網址是否來自 Microsoft 官方,相信就能避免上述網路釣魚攻擊。

(本文由 Unwire HK 授權轉載;首圖來源:Designed by Freepik

延伸閱讀: