微软本周稍早发出公告,黑客正利用包括Google App Engine在内的合法域名发送钓鱼信件,绕过邮件安全过滤机制入侵企业,已有超过40万的Office 365及Outlook Web Access (OWA )登录帐密遭窃走。
这波攻击是WMC Global发现的Compact Campaign钓鱼攻击的一部分,从去年12月开始持续活动至今。钓鱼信件内容包含冒充的Zoom视频连接邀请连接,骗取用户输入OWA或Office 365帐密。迄今已经有40多万笔帐密遭窃。
Compact Campaign得逞原因是它利用被黑入的合法邮件服务企业的域名发送信件,而成功避免邮件过滤封锁。遭利用的邮件服务企业一开始以SendGrid为主,去年多了Amazon SES (Simple Email Service),今年一月又添加Mailgun等服务。但微软安全情报小组最近侦测到,攻击者还使用Appspot.com域名为不同钓鱼邮件收信者创建不同的URL。Appspot.com是Google App Engine的域名名。通过滥用合法域名,将可提高钓鱼邮件躲过域名信誉为基础的过滤机制。
微软的Defender for Office 365已经可侦测这波攻击。但微软指出,这波钓鱼邮件攻击是利用被黑的邮件营销账号为之,因此微软强烈建议企业重新检讨邮件发送规则,允许大量例外的规则可能让钓鱼信件乘虚而入。