近期,来自云安全公司Avanan的安全研究专家发现了一种名叫PhishPoint的新型攻击技术,而这种攻击技术将允许攻击者绕过Microsoft Office365的保护机制。
PhishPoint是一种新型的SharePoint钓鱼攻击,在过去的两周内,大约有10%的Office 365用户受到了这种攻击的影响。安全专家警告称,已经有很多网络诈骗份子开始使用这种新型的攻击技术来绕过目前大多数电子邮件服务商所部署的高级威胁保护(ATP)机制了,其中受影响的就包括Microsoft Office 365在内。
根据Avanan发布的安全报告显示:“在过去的两周内,我们检测到并成功阻止了一种新型的钓鱼攻击,目前全球大约有10%的Office 365用户受到了此次攻击的影响。PhishPoint是一种升级版的网络钓鱼攻击,攻击者主要利用电子邮件和SharePoint来收集终端用户的Office 365凭证信息。在攻击的过程中,攻击者会使用SharePoint文件来托管钓鱼链接,通过向SharePoint文件插入恶意链接(而不是向电子邮件中插入),攻击者将能够绕过Office365的内置安全机制。”
在PhishPoint的攻击场景中,目标用户会受到一份包含指向SharePoint文档链接的电子邮件,文件中的消息内容跟标准的SharePoint邀请合作函是完全一样的。
当用户点击了伪造邀请函中的超链接之后,浏览器将会自动打开一份SharePoint文件。这个SharePoint文件的内容会伪装成一种标准的OneDrive文件访问请求,其中会包含一条“访问文档”超链接,而这个超链接实际上是一条恶意URL,它会将用户重定向到一个伪造的Office 365登录页面。
这个登录页面会让目标用户提供他们自己的登录凭证。
安全专家强调称,微软所部属的保护机制会检查邮件中的主体内容,包括里面附带的超链接,但由于PhishPoint中的链接指向的是一个实际的SharePoint文档,因此保护机制将无法识别这种威胁。专家表示:“攻击者利用的是微软链接扫描机制的漏洞,因为这种机制的扫描深度只有一层,它只会扫描邮件主体中的链接,而不会扫描托管在其他服务方的文件,例如SharePoint。为了识别这种威胁,微软需要扫描共享文档中的其他链接以检测钓鱼URL。”
专家表示,如果邮件的主题行中有类似“URGENT”(紧急)或“ACTION REQUIRED”(待办公事)等字样的内容,请一定要小心,并在确定了邮件来源之后再点击访问。
除此之外,每当你看到了登录页面之后,请一定要三思而后行,在仔细检查了浏览器地址栏的链接地址之后,再访问相关资源。还有一点,请不要忘记开启双因素身份验证功能。
* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM