微软警示:邮件路由配置不当或致内部域名钓鱼攻击风险
- 浏览次数 234
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络威胁行为体正利用邮件路由配置漏洞及伪造防护措施的配置失误,仿冒企业内部域名发送邮件,以此实施钓鱼攻击。
微软威胁情报团队在周二发布的报告中指出:“威胁行为体借助该攻击路径,投递各类钓鱼邮件,这些邮件多与Tycoon 2FA等钓鱼即服务平台相关联。邮件诱饵主题涵盖语音留言、共享文档、人力资源部通知、密码重置或过期提醒等,最终目的是窃取用户凭证信息。”
尽管此类攻击手段并非首次出现,但微软表示,自 2025 年 5 月起,该攻击手法的使用频次显著上升,被用于针对多个行业、各类企业的随机性攻击活动。其中就包括一系列通过伪造邮件实施的企业金融诈骗攻击。
一旦攻击得逞,威胁行为体可窃取用户凭证,并借此开展后续攻击活动,包括数据窃取、企业邮箱劫持等。
这类安全隐患主要出现在以下场景:企业租户配置了复杂的邮件路由规则,且未严格落实域名伪造防护机制。复杂路由的典型案例为:将邮件交换记录先指向本地部署的 Exchange 邮件环境或第三方邮件服务,再跳转至微软 365 平台。
这种配置方式会形成安全漏洞,让攻击者有机可乘,发送看似源于企业租户内部域名的伪造钓鱼邮件。调查发现,绝大多数采用该攻击路径的钓鱼活动,均使用了Tycoon 2FA钓鱼即服务工具包。微软透露,仅在 2025 年 10 月,就拦截了超过 1300 万封与该工具包相关的恶意邮件。
钓鱼即服务工具包属于即插即用型平台,即便是技术水平有限的诈骗分子,也能借助这类工具轻松创建并管理钓鱼攻击活动。平台提供可自定义的钓鱼邮件模板、攻击基础设施等功能,助力诈骗分子窃取用户凭证,并通过中间人钓鱼手段绕过多因素认证机制。
微软还发现,部分伪造邮件以虚假发票为诱饵,诱导企业进行转账支付,进而造成企业的经济损失。此外,这类钓鱼邮件还会仿冒电子签名平台等正规服务,或谎称来自人力资源部门,以薪资调整、福利变更等事由实施诈骗。
用于金融诈骗的钓鱼邮件,往往伪装成企业首席执行官、服务供应商、公司财务部门之间的沟通对话内容。为增加骗局可信度,邮件通常会附带三份伪造文件:
- 伪造的数千美元金额转账发票,要求收款方将款项汇入指定银行账户;
- 美国国税局 W-9 表格,表格中包含用于开立该诈骗账户的个人姓名及社会安全号码;
- 伪造的银行证明信,谎称由开立诈骗账户的网络银行员工出具。
微软补充道:“攻击者可能在邮件正文中植入可点击链接,或在附件中嵌入二维码,诱导收件人访问钓鱼页面。此类邮件最显著的特征,就是对终端用户显示为‘内部邮箱发送’,且邮件的‘发件人’与‘收件人’字段甚至会使用同一个邮箱地址。”
为防范此类风险,微软建议企业采取以下防护措施:部署严格的基于域名的邮件身份验证、报告与一致性协议拒绝策略及发件人策略框架强制失效策略,同时正确配置第三方连接器(如反垃圾邮件过滤服务、邮件归档工具等)。
需要特别注意的是,若企业租户将 MX 记录直接指向微软 365(Office 365)平台,则不会受到此类攻击路径的威胁。此外,微软建议企业在非必要情况下关闭直接发送功能,以拦截仿冒企业域名的钓鱼邮件。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文