现代网络钓鱼方法包括滥用合法的云服务来绕过电子邮件安全解决方案,并将恶意电子邮件直接发送到受害者的收件箱中。

更多Microsoft365网络钓鱼攻击正在使用这种危险的新方法

在这个最新的例子中,来自Trustwave的网络安全研究人员发现一个威胁行为者滥用微软的权限管理服务(RMS)向他们的受害者提供指向虚假登陆页面的链接。研究人员表示,这些攻击具有很强的针对性,而且很难缓解。

在攻击中,威胁行为者将使用之前被盗的电子邮件帐户向受害者发送消息。该消息将包含使用RSM服务创建的附件,这意味着它将被加密并带有.RPMSG扩展名。Microsoft设计RSM以通过强制读者首先进行身份验证来为敏感文件提供额外的保护层。

一旦用户通过身份验证并被授予阅读消息的能力,他们将被重定向到托管在Adob​​eInDesign服务上的虚假SharePoint文档。该文档包含“单击此处查看文档”号召性用语,将用户带到带有“正在加载”消息的空白页面。这只是分散注意力,而恶意脚本会在后台窃取敏感数据。

这些数据包括访问者ID、连接令牌和哈希、显卡渲染器信息、系统语言、设备内存、硬件并发性、安装的浏览器插件、浏览器窗口详细信息和操作系统架构。此过程完成后,该页面将重新加载到伪造的Microsoft365登录表单中,该表单会窃取访问者的登录凭据并将其发送给攻击者。

Trustwave在其报告中说:“就威胁的性质对您的用户进行教育,而不是试图解密或解锁来自外部来源的意外消息。”

“为帮助防止Microsoft365帐户受到威胁,请启用多重身份验证(MFA)。”

多因素身份验证并非万无一失,但确实会使威胁行为者更加努力地获得对其目标端点的访问权限。由于设置起来非常简单,MFA在网络安全社区中广受赞誉,并被认为是行业标准。