最近,来自云安全公司Avanan的安全研究专家发现了一种名为PhishPoint的新攻击技术,它将允许攻击者绕过Microsoft Office365的保护机制。
PhishPoint是一种新型的SharePoint网络钓鱼攻击,在过去两周内,大约10%的Office 365用户受到此类攻击的影响。安全专家警告说,许多骗局已经开始使用这种新的攻击技术来绕过大多数电子邮件提供商(包括Microsoft Office 365)部署的高级威胁防护(ATP)机制。
根据Avanan的安全报告,“在过去两周内,我们检测到并成功阻止了一种新型的网络钓鱼攻击。目前,全球约有10%的Office 365用户受此攻击影响.PhishPoint是网络钓鱼攻击的升级版本攻击者主要使用电子邮件和SharePoint收集最终用户的Office 365凭据信息。攻击期间,攻击者使用SharePoint文件通过将恶意文件插入SharePoint文件来托管网络钓鱼链接。链接(而不是插入电子邮件)将允许攻击者绕过Office365的内置安全性。“
在PhishPoint的攻击情形中,目标用户将收到一封包含SharePoint文档链接的电子邮件。文件中的邮件内容与标准SharePoint邀请合作信函完全相同。
当用户单击伪造邀请中的超链接时,浏览器将自动打开SharePoint文件。此SharePoint文件的内容将伪装成标准的OneDrive文件访问请求,,该请求将包含“访问文档”超链接,该超链接实际上是将用户重定向到虚假Office 365登录页面的恶意URL。
此登录页面将为目标用户提供他们自己的登录凭据。安全专家强调,Microsoft的保护机制会检查邮件正文,包括附加到它的超链接,但由于PhishPoint中的链接指向实际的SharePoint文档,因此保护机制无法识别威胁。 。专家说:“攻击者利用Microsoft链接扫描机制的漏洞,因为它只扫描一个层,它只扫描邮件正文中的链接,而不是其他方(如SharePoint)上托管的文件。识别此威胁,Microsoft需要扫描共享文档中的其他链接以检测网络钓鱼URL。“
专家表示,如果电子邮件的主题行中有“紧急”或“需要采取行动”之类的内容,请在确定电子邮件来源后小心并单击电子邮件。
此外,每次看到登录页面时,请在访问相关资源之前仔细检查浏览器地址栏的链接地址之前再三考虑。还有一点,不要忘记打开双因素身份验证。
