以 Office 365 为目标的网络钓鱼活动利用品牌名称

研究人员发现一种复杂的新型网络钓鱼活动，该活动使用知名的品牌名称绕过安全过滤器，并诱骗受害者放弃Microsoft Office 365凭据去访问公司网络。

最新的报告来自与Check Point软件首次观察到的攻击，主要针对欧洲企业，以及亚洲和中东地区，在四月份时候，他们发现了发送给受害者名为“Office 365的语音邮件”的电子邮件。

这些电子邮件试图诱使受害者点击个链接，链接将跳转到Office 365帐户。如果受害者点击了链接，他们将被重定向到看似Office 365登录页面，但实际上是网络钓鱼页面。

威胁情报情报机构经理洛特姆·芬克尔斯滕（Lotem Finkelsteen）在报告中说。最初攻击似乎是“经典的Office 365网络钓鱼”。但是，经过调查研究人员发现这是一种“杰作策略”，该策略利用“知名品牌在诱骗受害者时避开安全防护”。

Finkelsteen说：“现在，这是公司在网络中立足的一项顶级技术。访问公司邮件可以使黑客无限制地访问公司的业务，例如交易，财务报告，从可靠来源发送公司内部的电子邮件，密码甚至公司云资产的地址，”

然而，进行这种攻击绝非易事。复杂的程度要求竞选活动背后的人员要不加注意地访问三星和牛津大学的服务器，这需要对它们的工作方式有深如的了解。

在这次事件中，研究人员观察到黑客使用了托管在Adobe服务器上的三星域，该域自2018年网络星期一事件以来一直未使用，该技术被称为“开放重定向”，从而使自己“合法三星域的外观成功诱骗了受害者”。研究人员说。

该方法基本上是网站上的URL，任何人都可以使用该URL将用户重定向到另一个站点，从而增加了恶意电子邮件中使用的URL的合法性。在这种情况下，电子邮件中的链接将重定向到以前使用的Adobe服务器，从而使网络钓鱼电子邮件中使用的链接“是受信任的Samsung域的一部分，在不知不觉中将受害者重定向到由黑客托管的网站。

通过使用特定的Adobe Campaign链接格式和合法域，为攻击者增加了电子邮件绕过基于信誉，黑名单和URL模式的电子邮件安全解决方案 的机会。”

在过去的一年中观察到的攻击事件，黑客在钓鱼活动中使用Google和Adobe开放重定向来增加垃圾邮件中使用的URL的合法性。

电子邮件本身还使用了知名品牌来绕过安全保护。报告称，它们主要来自多个生成的地址，这些地址属于牛津大学不同部门的合法子域。研究人员写道，这表明黑客以某种方式找到了一种方法来滥用牛津大学的简单邮件传输协议（SMTP）服务器，以通过发件人域安全措施所需的信誉检查。

Check Point表示已将调查结果告知牛津大学，Adobe和三星，以便他们可以采取适当行动。