微软警告Office 365的用户,他们正成为一场广泛的网络钓鱼活动的目标,目的是获取用户名和密码。
正在进行的网络钓鱼活动使用了多个链接;点击它们会导致一系列重定向,导致受害者进入一个谷歌reCAPTCHA页面,然后进入一个伪造的登录页面,在那里Office 365的凭证被窃取。
这种攻击依赖于一种名为“开放重定向”的电子邮件销售和营销工具,这种工具过去曾被滥用,用于将访问者重定向到一个值得信任的目的地,并将其导向一个恶意网站。谷歌不认为谷歌url的打开重定向是一个安全漏洞,但它确实在浏览器中显示了一个“重定向通知”。
看:勒索软件:这个新的免费工具可以让你测试你的网络安全是否强大到足以阻止攻击
微软警告说,这一功能正在被网络钓鱼攻击者使用。
然而,攻击者可能会滥用开放的重定向链接到可信域中的URL,并将最终的恶意URL作为参数嵌入其中。这种滥用可能会阻止用户和安全解决方案快速识别可能的恶意意图,”微软365防御威胁情报团队警告说。
这种攻击的诀窍在于,用户可以将鼠标悬停在电子邮件中的某个链接上,在点击前检查目的地。
一旦收件人将光标停留在邮件中的链接或按钮上,他们就会看到完整的URL。然而,由于参与者使用合法的服务设置了开放的重定向链接,用户看到的合法域名很可能与他们认识和信任的公司有关。我们相信攻击者滥用这个开放和声誉良好的平台,试图逃避检测,同时将潜在的受害者重定向到钓鱼网站,”微软警告说。
该公司表示:“那些被训练在链接上停留并检查电子邮件中恶意内容的用户,可能仍然会看到他们信任的域名,并因此点击它。”
微软在这次攻击中发现了超过350个独特的钓鱼域名,包括免费电子邮件域名、被攻击者的域名生成算法自动创建的域名。电子邮件标题是针对攻击者假冒的工具定制的,比如Zoom会议的日历提醒、Office 365垃圾邮件通知,或者关于广泛使用但不明智的密码过期策略的通知。
虽然开放重定向并不是什么新鲜事,但微软在8月份注意到一场依赖于假冒微软url的网络钓鱼活动后,就抓住了这个问题。
谷歌reCaptcha验证增加了网站的明显合法性,因为它通常被网站用来确认用户不是机器人。然而,在本例中,用户被重定向到一个看起来像类Microsoft登录页面的页面,并最终指向一个来自Sophos的合法页面,而Sophos确实提供了检测这种类型的钓鱼攻击的服务。
SEE:隐私悖论:企业如何在使用个人数据的同时保护用户隐私?
如果用户输入密码,页面将刷新并显示错误消息,说明页面超时或密码错误,用户必须再次输入密码。这可能是为了让用户输入两次密码,从而让攻击者确保他们获得了正确的密码。
一旦用户第二次输入密码,页面就会跳转到一个合法的Sophos网站,该网站声称邮件信息已经被发布。这为网络钓鱼运动增加了另一层虚假合法性。”
谷歌关于开放重定向问题的说法是,这不是一个安全漏洞,尽管它承认它可以用来触发其他漏洞。然而,谷歌并不认为将鼠标悬停在应用程序中的链接上就能看到目的地URL是一个有用的钓鱼提示。
“打开的重定向器会把你从一个谷歌的URL带到另一个由构建该链接的人选择的网站。一些安全团体的成员认为重定向器助长了网络钓鱼,因为用户可能倾向于相信鼠标悬停在一个链接上的工具提示,然后在导航发生后无法检查地址栏。
“我们对此的看法是,工具提示并不是一个可靠的安全指示器,可能会以多种方式被篡改;因此,我们投资于检测和提醒用户网络钓鱼和滥用的技术,但我们通常认为,少数适当监控的重定向器提供了相当明显的好处,并构成很少的实际风险。”
