微软查封新冠肺炎钓鱼行动中使用的六个域名

2020-07-08 00:20:00

微软本月获得了一项法院命令,允许该公司夺取六个域名的控制权,这些域名被用于针对Office365客户的网络钓鱼行动,包括利用新冠肺炎诱饵的活动。

根据ZDNet获得的法庭文件,微软的目标是一个自2019年12月以来一直以该公司客户为目标的两人网络钓鱼行动。

这两家公司通过向在微软Office365云服务上托管电子邮件服务器和企业基础设施的公司发送电子邮件来运作。

这些电子邮件被欺骗,看起来像是来自同事或值得信任的商业伙伴。这一特定的网络钓鱼操作是独一无二的,因为攻击者没有将用户重定向到模仿Office 365登录页面的网络钓鱼网站。

取而代之的是,黑客兜售了一份Office文档。当用户试图打开该文件时,他们被重定向至安装黑客创建的恶意第三方Office 365应用程序。

如果安装了该应用程序,攻击者就可以完全访问受害者的Office 365帐户、设置、用户文件、电子邮件内容、联系人列表、笔记和其他内容。

微软表示,通过使用第三方Office365应用程序,黑客无需收集用户的密码即可获得访问用户账户所需的所有权限,只需获得一个OAuth2令牌。

其中一些网络钓鱼攻击之所以成功,有三个原因。第一个原因是,这款应用程序看起来像是微软创建的,是一个官方的、使用安全的应用程序。

第二个原因是,Office 365环境面向第三方应用程序提供的模块化,这些应用程序是由公司定制的,也可以在Office 365 AppSource Store上随时获得,而且用户习惯于定期安装应用程序。

第三,黑客使用了一种聪明的技术,该应用程序的安装链接最初会将用户带到微软的官方登录页面。然而,一旦认证成功,攻击者就使用了一个聪明的伎俩将用户重定向到恶意应用程序,给用户留下了他们使用的是经过微软审查的应用程序的印象。

微软在今年6月30日提起民事诉讼,该公司的目标是黑客用来托管其恶意Office 365应用程序的六个域名。下面列出了这六个域:

微软表示,它认为至少有两人是这次网络钓鱼行动的幕后黑手。该公司指出,该组织最初的攻击开始使用与商业相关的主题,但一旦新冠肺炎成为全球流行病,攻击很快就变成了带有冠状病毒主题文件的电子邮件。

在今天的一篇博客文章中,微软客户安全与信托公司副总裁汤姆·伯特(Tom Burt)表示,恶意的第三方应用程序被用来洞察受害者的内部结构,以便攻击者能够跟进BEC攻击。

BEC代表商务电子邮件妥协,是网络犯罪的一种形式。在BEC计划中,威胁分子伪装成员工、高层管理人员或可信的业务合作伙伴,向公司发送电子邮件,并要求受害者进行通常最终进入攻击者银行账户的商业交易。

BEC诈骗的目标是利用被黑客入侵的电子邮件账户或内幕信息来社会工程(欺骗)受害者修改交易细节或在没有遵循适当程序的情况下付款。

到目前为止,BEC诈骗是当今最主要的网络犯罪类别。今年2月,美国联邦调查局(FBI)表示,2019年向联邦调查局互联网犯罪投诉中心(IC3)报告的网络犯罪损失中,BEC诈骗占到了一半。

根据联邦调查局的数据,2019年,公司在BEC诈骗中损失了17.7亿美元,平均每份报告损失7.5万美元。

此案也标志着微软在过去一年中第四次提起法律诉讼,以控制恶意域名:

2020年3月-微软法律团队夺取了Necur僵尸网络运营的域名的控制权。

此外,今年4月,出于安全原因,微软还购买了corp.com域名,这样它就不会落入坏人手中。