网站 Bleeping Computer 先前报导,近日网络出现新钓鱼邮件,不法分子发送假扮 Office 365 无法送出邮件的提示信,尝试盗取用户的密码。最先由 ISC Handler 的 Xavier Mertens 发现,最妙的是钓鱼邮件会伪装成多封邮件未能送达的通知,提示用户“再次寄出”信件(下图)。
一旦用户点击“再次寄出”按钮,就会跳转到跟 Microsoft 登入页设计相同的钓鱼网站,然后要求用户输入账户和密码。钓鱼网站此时会利用 Javascript 将用户的账户和密码传给不法分子,再将用户带到正式的 Microsoft Office 365 登入网页。其实 Microsoft 并不会在邮件传送失败后,透过信件提供“再次寄出”选项,用户必须回到 Outlook 手动重新发送邮件。
另外,当邮件因种种原因无法寄出,系统会马上通知用户(上图),不会过了很久才突然弹出通知。最后,用户输入账户名称和密码前,只要检查一下网址是否来自 Microsoft 官方,相信就能避免上述网络钓鱼攻击。
- Phishing Attack Pretends to be a Office 365 Non-Delivery Email
(本文由 Unwire HK 授权转载;首图来源:Designed by Freepik)
延伸阅读:
- 双因素验证并非 100% 安全,伊朗骇客成功绕过验证机制入侵 Gmail、Yahoo 账号
- 部分中国 Apple ID 被钓鱼攻击盗走,苹果致歉
- Microsoft 365 商务版维安再升级,三大防护:防钓鱼、防勒索、防泄密
