网络钓鱼攻击刮掉了品牌Microsoft 365登录页面

一项不寻常的新网络钓鱼活动正在通过使用目标公司品牌的Microsoft 365租户登录页面的攻击来探测电子邮件收件箱，以增加骗局的合法性。

攻击者还利用微软的Azure Blob存储和Microsoft Azure网站云存储解决方案来托管他们的网络钓鱼登陆页面，这是网络钓鱼者用来欺骗他们的目标认为他们正在看到官方微软登录页面的常用策略。

使用Azure的Blob存储对象存储解决方案[ 1，  2 ]举办的钓鱼网页，可让他们采取的事实，他们将自动获得来自微软的SSL证书签名优势。

这使得此托管方法非常适合直接针对Microsoft服务的用户，并尝试使用高度令人信服的Microsoft登录页面窃取他们的Office 365，Azure AD，Outlook和Microsoft帐户凭据。

自动抓取公司品牌资源

“[该活动]利用一种新颖的方法来抓取组织的品牌Microsoft 365租户登录页面，以生成高度令人信服的凭据获取页面，”详细研究人员是Rapid7的托管检测和响应（MDR）服务团队的一部分。

在分析了影响其中一位客户的事件后，他们在7月中旬发现了协同网络钓鱼攻击，并发现其背后的威胁行为者通过为每个潜在目标添加自动电子邮件检查来加倍努力。

网络钓鱼电子邮件样本

潜在受害者的电子邮件会在重新定位到网络钓鱼表单之前检查大量已验证的电子邮件地址，这样可以让骗子抓住目标公司品牌的租户登录页面，其中包含自定义背景和横幅徽标，并让它们“动态插入”进入网络钓鱼登陆页面。“

“对经过验证的电子邮件地址中包含的域名进行进一步检查，指向至少最初针对一系列行业垂直行业（包括金融，保险，医疗，电信和能源）的网络钓鱼活动，”Rapid7研究人员补充说。

将受害者的公司徽标和品牌背景添加到网络钓鱼登陆页面允许骗子“创建针对用户组织定制的半目标且相当令人信服的凭据收获页面”。

此外，“如果经过验证的组织没有自定义品牌租户页面，则网络钓鱼工具包旨在使用默认的Office 365背景图像。”

网络钓鱼工具包的品牌登录页面抓取API

网络钓鱼活动似乎仍然有效

此广告系列的网络钓鱼工具包以及攻击者用于验证目标电子邮件和生成品牌着陆页的整个基础架构仍然托管在  xeroxprofessionalsbusiness [。] vip域中。

用作这些攻击的一部分的经过验证的电子邮件地址列表的服务器时间戳也暗示运行仍处于活动状态，看到操作它的威胁参与者正在积极更新它们 – 其中八个已经在不同时间更新。

该域名于2018年11月注册，最近于2019年7月24日更新，主机由立陶宛提供商提供，与Rapid7在攻击者滥用立陶宛基础设施的最后几周内观察到的增长趋势相符。

针对使用Microsoft Office 365的公司应该实施以下措施建议Rapid7，以确保其员工不会因为针对Microsoft用户的此网络钓鱼活动或其他网络钓鱼活动而陷入困境：

•通过Office 365启用多重身份验证或为所有员工启用第三方解决方案

• 为员工注册网络钓鱼感知培训计划，旨在帮助员工更轻松地发现和报告网络钓鱼尝试

网络钓鱼者经常滥用云存储

除了刮擦企业品牌登录页面的新颖用法之外，Rapid7发现和分析的网络钓鱼活动遵循了用于托管网络钓鱼工具包的云存储服务的更大趋势。

例如，Edgewave的研究人员发现网络钓鱼者  在二月份滥用微软的Azure Blob存储，最终目标是窃取微软和Outlook帐户凭据 – 现在非常普遍 – 非常有说服力的登陆页面，使用trustauth.cn域的SSL证书保证合法。

两个月后，MinervaLabs的研究员Omri Segev Moyal与BleepingComputer分享了几个  自定义Office 365规则，这些规则可用于阻止滥用Microsoft Azure Blob Storage进行登陆页面托管的网络钓鱼攻击。

然而，诈骗者不仅使用微软的云服务来使他们的网络钓鱼页面看起来更合法。4月，基于网络的GitHub代码托管平台发现了网络钓鱼工具包，滥用该服务的免费存储库，   通过github.io域提供网络钓鱼页面。

Cloudflare的IPFS网关也被网络钓鱼者滥用，以 使用Cloudflare发布的TLS证书来  保护他们的诈骗，因为BleepingComputer在2018年10月被发现。

最后但并非最不重要的 是，Akamai的安全情报响应小组（SIRT）在2月初观察到了另一系列网络钓鱼攻击，这些网络钓鱼攻击试图用谷歌翻译作为伪装从毫无防备的受害者那里刷谷歌和Facebook凭证  。

 如何识别钓鱼网站

1、 就是在进入网站之后，可以先输入一个错误的账号密码，如果是真正的官网，一定会第一时间提示账号密码错误，而如果是钓鱼网站，并不会有这样的提示。

2、 善于使用安全的浏览器。现在的浏览器安全性能都比较高，如果是正规网站，在浏览器的地址栏上都会显示出相关的备案信息。查看地址栏时， 如果发现没有网站的备案信息，就应当格外小心。

3、 在登陆正轨银行或金钱交易网站时，浏览器上有一个绿锁的标志，甚至有的网站会显示企业名称信息等。

如今，数据正成为数字化世界中的强大经济引擎。这时如何确保数据保护和数据安全，尤其涉及到敏感的隐私信息，都是摆在我们面前的重要挑战。可以说，一旦做好了个人数据的防护，不仅能够有效避免数据泄露的危害，还能够大幅消除用户对于个人隐私泄露的疑虑。