这家总部位于雷德蒙德的科技公司向所有用户发出警告,敦促他们采取适当措施以保持受到保护。
专家们一直在追踪一个广泛存在的凭据网络钓鱼活动,该活动依赖于开放的重定向器链接,同时建议它可以防御此类计划。
这只是过去几个月恶意第三方尝试的多个此类计划之一,因此我们真的应该认真对待这一警告,并尽一切努力保护我们的敏感数据。
微软提高对新网络钓鱼攻击的认识
尽管电子邮件消息中的重定向链接是将收件人带到第三方网站或跟踪点击率以及衡量销售和营销活动成功与否的重要工具,但还有其他方法可以使用。
一个 开放的重定向 是当Web应用程序允许HTTP参数以包含使所述HTTP请求被重定向到的参照资源用户提供的URL。
竞争对手可能会滥用相同的技术,以便将此类链接重定向到他们自己的基础设施,同时保持完整 URL 中的受信任域完整无缺。
这有助于他们逃避反恶意软件引擎的分析,即使用户试图将鼠标悬停在链接上以检查任何可疑内容的迹象。
Microsoft 365 Defender 威胁情报团队就此主题进行了开发,并在一篇详细的博客文章中解释了这些攻击是如何进行的。
攻击者将这些链接与社会工程诱饵相结合,这些诱饵冒充众所周知的生产力工具和服务来引诱用户点击。这样做会导致一系列重定向——包括一个 CAPTCHA 验证页面,它增加了合法性并试图逃避一些自动分析系统——然后将用户带到一个虚假的登录页面。这最终会导致凭据泄露,从而使用户及其组织面临其他攻击。
为了成功将潜在受害者引导至网络钓鱼站点,邮件中嵌入的重定向 URL 是使用合法服务设置的。
事实上,链接中包含的最终参与者控制的域利用了顶级域 .xyz、.club、.shop 和 .online,但它们作为参数传递,以便绕过电子邮件网关解决方案。
微软表示,作为这次黑客活动的一部分,它发现了至少 350 个独特的网络钓鱼域。
黑客拥有的最有效的工具是令人信服的社会工程诱饵,这些诱饵声称是来自 Office 365 和 Zoom 等应用程序的通知消息、精心设计的检测规避技术以及执行攻击的耐用基础设施。
为了进一步增强攻击的可信度,点击特制链接会将用户重定向到恶意登录页面,该页面使用谷歌 reCAPTCHA 来阻止任何动态扫描尝试。
完成 CAPTCHA 验证后,受害者会看到一个欺诈性登录页面,模仿 Microsoft Office 365 等已知服务,仅在提交信息时刷密码。
如果受害者输入密码,则页面会刷新并显示一条错误消息,声明会话已超时并指示访问者再次输入密码。
这是一种数据验证做法,与电子邮件营销列表服务使用的双重选择加入仪式不同,以确保遵守垃圾邮件法律。
网络钓鱼受害者被重定向到合法的 Sophos 安全网站,错误地表明他们被通知检索的电子邮件已被释放。
现在我们意识到了危险,我们可以继续并立即采取适当的行动,降低成为这场网络战争中另一个统计数字的风险。