黑客假冒Microsoft Teams消息发动钓鱼攻击 已锁定50000个Office 365用户

发布时间：2020-10-27 10:20:42来源：E安全

E安全10月27日讯近日，据外媒报道，研究人员警告称，有网络钓鱼活动伪装成MicrosoftTeams的自动通知消息，攻击目的在窃取Office365收件人的登录凭证。

01

黑客志在取得Office365用户登录凭证

Teams是微软最受欢迎的协作工具，特别受新冠病毒大流行期间远程上班者欢迎，使其成为攻击者常冒充的有吸引力品牌。据电子邮件安全平台供应商AbnormalSecurity研究人员指出，约有15,000~50,000名Office365用户收到特定攻击活动的钓鱼消息。

研究人员22日发布分析报告表示：“由于MicrosoftTeams是即时消息服务，因此接收到通知的人可能更倾向点击消息，便可以快速回复认为可能错过的任何消息。”

最初网络钓鱼邮件主题是“Teams有新活动”，看起来很像MicrosoftTeams系统自动发出的通知信。信件告诉收件人有团队成员正在尝试联系他们，警告他们已错失MicrosoftTeams的聊天消息，并显示假冒团队成员聊天消息的范例，要求在下周三前回复。

AbnormalSecurity资料科学家ErinLudert表示，他怀疑攻击者使用更多“撒网式”（Spray）攻击策略与手法，因聊天消息提到的员工似乎并不是受攻击公司的员工。为了让受害者回应，假信件会催促收件人点击“在Teams回复”（ReplyinTeams）按钮，但这会让受害者被引跳转至网络钓鱼页面。

02

微软成为黑客最爱冒充的品牌

“信件主文会出现3个连接，分别是“MicrosoftTeams”、“（联系人）在即时消息程序发送消息”（“Contact”sentamessageininstantmessengers）和“在Teams回复”，”根据研究人员表示。“点击任一连接，会被导到假网站，假冒成微软登录页面。接着钓鱼页面会要求收件人输入电子邮件和密码。”

研究人员说，这网络钓鱼登录页面外观极有说服力，就跟微软登录页面没什么两样，URL开头甚至包含“microsftteams”字眼。如果收件人被说服输入自己的微软凭证，无异是将重要消息拱手交给攻击者，攻击者随后会将这些凭证用于一系列恶意用途（包括账号接管）。

随着疫情持续爆发，人们对网络攻击者利用诸如MicrosoftTeams、Zoom和Skype之类的企业友善协作品牌的担忧愈益高涨。今年5月，令人信服的活动假冒MicrosoftTeams通知，以窃取员工通行的Office365凭证，展开两次共锁定多达50,000名不同Teams用户的个别攻击。

黑客最爱冒充攻击的排行榜，微软绝对是第一位，光今年第三季全球品牌网络钓鱼攻击，微软产品及服务就占将近五分之一。攻击者也使用极精细复杂的攻击手法与策略，破解Office365用户的可视化CAPTCHAS验证码和基于令牌的授权方法。

注：本文由E安全编译报道，转载请注原文地址

推荐阅读：

▼稿件合作15558192959

小E微信号：Eanquan0914

喜欢记得打赏小E哦！

我就知道你“在看”