微软揭露锁定Office 365用户且可绕过两步验证的大规模钓鱼攻击
DoNews 7月13日消息(刘文轩)微软透露,从2021年9月迄今,至少1万个组织成为中间人(Adversary-in-The-Middle,AiTM)钓鱼攻击的目标,且黑客主要锁定Office 365用户。由于黑客不仅窃取了用户的密码,也挟持了用户的登陆期间,因而也能绕过两步验证(Multi-Factor Authentication,MFA)机制。
黑客先是寄送了钓鱼邮件,将用户导至AiTM钓鱼页面,进而窃取用户的凭证与期间Cookie,随之黑客即利用所取得的凭证及登陆期间权限,以受害者的邮件帐号展开商业电子邮件(BEC)诈骗。
微软描述了AiTM钓鱼活动的细节,指出黑客在用户与所要造访的目标网站之间部署了一个 *** 伺服器(钓鱼网站),当黑客以钓鱼邮件诱导用户造访目标网站时, *** 伺服器便充当中间的桥梁,使得该 *** 伺服器得以取得用户所输入的密码,以及用户与目标网站之间建立的登陆期间Cookie。
除了网址之外,该钓鱼网站几乎与目标网站一模一样,而让用户难以察觉。微软强调,此攻击无关用户所采用的登陆机制,亦非MFA机制的安全漏洞,仅仅是因为黑客挟持了用户的登陆期间,而能以用户的身分运作。
此外,这些钓鱼活动显然是锁定Office 365用户,因为黑客所打造的冒牌网站就是伪装成Office的线上认证页面。
根据微软的分析,最快的攻击行动在盗走凭证及期间Cookie的5分钟之后,便展开了BEC诈骗。
微软建议组织可启用条件式存取政策,部署更先进的防钓鱼解决方案,或是持续侦测可疑与异常行为,或使用Microsoft 365 Defender来对抗AiTM钓鱼攻击。
本文源自iDoNews
如何预防被钓鱼邮件攻击
预防被钓鱼网站攻击要做到五要和五不要。
五要
1、要安装杀毒软件
安装杀毒软件,定期更新病毒库并进行全盘扫描,对于发现的漏洞或者病毒进行及时封堵及清理。对于下载的邮件附件需进行扫描,确认没有病毒后方可打开。
2、要加强个人信息保护意识
首先设置的邮箱密码应符合强密码规则,即至少8位以上,包含数字、大小写字符、符号中的至少3种,且不为常见的默认密码等。
其次应加强防范意识,不应将邮箱账号密码明文方式存储在电脑中或以便利贴的方式贴在电脑上,不随意告诉其他人自己的账号密码,如因特殊情况必须告知的,在使用完成后需更新密码。最后需定期(一般为90天)更换密码。
3、要提高甄别能力
重要事件一般不会只通过邮件的形式通知,会提前通过公文、或者通知相关信息员的方式进行通知。对于重要通知首先需要识别发送方是否为真实的公司邮箱地址,其次可 *** 邮件发送方或者询问相关管理员进行进一步确认。
4、工作邮件要使用企业邮箱收发
使用企业邮箱收发工作邮件,并且不使用企业邮箱注册各类非工作网站。企业邮箱一般能够有效过滤垃圾邮件或钓鱼邮件,强制使用复杂登录密码,并对登录情况进行详细记录,以便及时发现邮箱是否存在异常使用情况。
5、要做好重要文件的备份和清理
及时清理邮箱,对于包含敏感信息的邮件及时下载及删除。重要文件定期离线备份,防止被攻击后丢失。敏感邮件或者附件应加密发送,解密密码通过其他手段另行发送。
四不要
1、不要轻信发件人地址中显示的发件人名
发件人地址中的“显示名”可以随意变换,需要注意具体的发件人邮箱地址,即使发件人地址信息为真实可靠的,但对于邮件主题有疑议,可以直接与邮件发件人 *** 联系以防被钓鱼。
2、不要轻易点开邮件中的链接
不要轻易点击邮件中的链接,特别是如收到的是系统升级、账号停用等之类的紧急通知邮件,应与系统管理员进行确认,点开链接时也需要确认链接指向地址是否为系统地址。
3、不要在公共 *** 登录个人邮箱或银行账户
由于公共 *** 缺乏基本的安全防护手段,很容易被攻击和监听,建议不要在这种 *** 中执行登录电子邮箱、银行账户、通信软件等敏感操作,以防账号被窃取。
4、不要在公网上随意发布个人敏感信息
由于 *** 的开放性,所有在公网上发布的信息都容易被攻击者利用(包括论坛、微信朋友圈、微博等),攻击者可通过分析这些信息开展定向攻击。
防范邮件攻击的措施有哪些 ***
电脑上下载360安全卫士,手机上下载安装360手机卫士,可以全方位防护系统安全