駭客假冒 Microsoft Teams 訊息發動釣魚攻擊,5 萬名 Office 365 使用者遭攻擊

作者 | 發布日期 2020 年 10 月 25 日 0:00 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


研究人員警告,有網路釣魚活動偽裝成 Microsoft Teams 的自動通知訊息,攻擊目的在竊取 Office 365 收件人的登錄憑證。 

駭客志在取得 Office 365 使用者登錄憑證

Teams 是微軟最受歡迎的協作工具,特別受新冠病毒大流行期間遠端上班者歡迎,使其成為攻擊者常冒充的有吸引力品牌。據電子郵件安全平台供應商 Abnormal Security 研究人員指出,約有 15,000~50,000 名 Office 365 使用者收到特定攻擊活動的釣魚訊息。

研究人員 22 日發表分析報告表示:「由於 Microsoft Teams 是即時訊息服務,因此接收到通知的人可能更傾向點擊訊息,便可以快速回覆認為可能錯過的任何訊息。」

最初網路釣魚郵件主旨是「Teams 有新活動」,看起來很像 Microsoft Teams 系統自動發出的通知信。信件告訴收件人有團隊成員正在嘗試聯繫他們,警告他們已錯失 Microsoft Teams 的聊天訊息,並顯示假冒團隊成員聊天訊息的範例,要求在下週三前回覆。

Abnormal Security 資料科學家 Erin Ludert 表示,他懷疑攻擊者使用更多「撒網式」(Spray)攻擊策略與手法,因聊天訊息提到的員工似乎並不是受攻擊公司的員工。為了讓受害者回應,假信件會催促收件人點擊「在 Teams 回覆」(Reply in Teams)按鈕,但這會讓受害者被引導至網路釣魚頁面。

微軟成為駭客最愛冒充的品牌

「信件主文會出現 3 個連結,分別是『Microsoft Teams』、『(聯絡人)在即時訊息程式發送訊息』([Contact] sent a message in instant messengers)和『在 Teams 回覆』,」根據研究人員表示。「點擊任一連結,會被導到假網站,假冒成微軟登錄頁面。接著釣魚頁面會要求收件人輸入電子郵件和密碼。」

研究人員說,這網路釣魚登錄頁面外觀極有說服力,就跟微軟登錄頁面沒什麼兩樣,URL 開頭甚至包含「microsftteams」字眼。如果收件人被說服輸入自己的微軟憑證,無異是將重要訊息拱手交給攻擊者,攻擊者隨後會將這些憑證用於一系列惡意用途(包括帳號接管)。

隨著疫情持續延燒,人們對網路攻擊者利用諸如 Microsoft Teams、Zoom 和 Skype 之類的企業友善協作品牌的擔憂愈益高漲。今年 5 月,令人信服的活動假冒 Microsoft Teams 通知,以竊取員工通行的 Office 365 憑證,展開兩次共鎖定多達 50,000 名不同 Teams 使用者的個別攻擊。

駭客最愛冒充攻擊的排行榜,微軟絕對是第一位,光今年第三季全球品牌網路釣魚攻擊,微軟產品及服務就占將近五分之一。攻擊者也使用極精細複雜的攻擊手法與策略,破解 Office 365 使用者的視覺化 CAPTCHAS 驗證碼和基於令牌的授權方法。

(首圖來源:微軟