微軟表示，從2021年9月開始，已經有超過10,000個組織受到網絡釣魚攻擊，攻擊者會利用獲得的受害者郵箱訪問權進行后續的商業電子郵件破壞（BEC）攻擊。攻擊者使用登陸頁面欺騙Office在線認證頁面，從而繞過多因素認證（MFA），實現劫持Office 365認證的目的。

在這些釣魚攻擊中，潛在的受害者會收到一封使用HTML附件的釣魚郵件，當目標點擊時會被重定向到登陸頁面，而HTML附件確保目標通過HTML重定向器發送。在竊取了目標的憑證和他們的會話Cookie后，這些攻擊者會登錄受害者的電子郵件賬戶，并使用受害者的訪問權限進行針對其他組織的商業電子郵件泄露（BRC）活動。

使用中間人（AiTM）釣魚網站竊取密碼，劫持用戶的登錄會話，并跳過認證過程，然后攻擊者會利用竊取的憑證和會話cookies訪問受影響用戶的郵箱，并對其他目標進行后續的商業電子郵件破壞（BEC）活動。”

為了防御此類攻擊，微軟仍然建議用戶使用MFA并支持基于證書的認證和Fast ID Online (FIDO) v2.0。微軟還建議用戶監測可疑的登錄嘗試和郵箱活動，以及采取有條件的訪問策略，以阻止攻擊者試圖使用來自不合規設備或不可信任的IP地址的被盜會話Cookies。

Verizon 2021年數據泄露調查報告發現，在所有數據泄露事件中有25%涉及網絡釣魚。Proofpoint 2022年網絡釣魚威脅狀態報告顯示，2021年有83%的企業成為網絡釣魚攻擊的受害者。釣魚郵件攻擊如此普遍，關鍵在于釣魚郵件攻擊的高成功率，這種網絡攻擊很容易被攻擊機器人反復復制和自動化。雖然許多人相信自己在收到一封網絡釣魚電子郵件時會識別出來，但事實是他們通常做不到。

面對越來越有針對性的釣魚郵件攻擊，我們應該從郵件服務器端、個人終端和安全意識等多方面入手進行防護。對于郵件服務端，可以通過增加防病毒網關來防范；對于用戶終端，要正確安裝防毒軟件和及時安裝補丁程序；在用戶安全意識培養方面，除了加大宣傳力度外，也可以通過一些真實的釣魚攻擊演練來加深用戶的印象。

免費領取新網企業郵箱：http://www.qingjiehangjia.cn/composite/zt/2018Y1012mail.html?utm_source=pc&utm_medium=sns