微软成功打击大规模欺诈活动

微软最近成功打击了一场利用仿冒域名和恶意应用程序在全球62个国家诈骗客户的大规模欺诈活动。该公司通过法院命令查封了六个域名，其中五个包含“office”一词。攻击者利用这些域名进行精心设计的诈骗活动，旨在诱骗CEO和其他高级商业领袖将大笔资金转账给攻击者，而非可信赖的第三方。

诈骗手段的演变

此前，同一批攻击者在2020年12月曾通过钓鱼攻击获取未经授权的访问权限，使用季度收益报告等通用商业主题的电子邮件进行诈骗。微软通过技术手段成功阻止了这次攻击。然而，攻击者随后又发起了一种新的商业电子邮件诈骗（BEC），这次他们不再诱骗目标登录仿冒网站，而是通过电子邮件指示收件人授权一个声称是微软应用程序的恶意应用访问其Office 365账户。

利用COVID-19作为诱饵

这次最新的诈骗活动利用COVID-19大流行作为诱饵。微软客户安全与信任副总裁Tom Burt指出，这种诈骗方式不需要受害者直接在仿冒网站上输入登录凭证，而是通过点击恶意网络应用的同意提示，无意中授予犯罪分子访问和控制其Office 365账户内容的权限，包括电子邮件、联系人、笔记以及存储在OneDrive for Business和SharePoint中的文件。

BEC诈骗的高昂成本

Burt引用了FBI 2019年的一份报告，指出BEC犯罪造成的损失超过17亿美元，几乎占所有互联网犯罪造成财务损失的一半。BEC是互联网犯罪中心收到的最昂贵的投诉之一。在一些精心策划的诈骗活动中，高管们会收到看似来自经理、会计师或其他组织内部人员的电子邮件。

OAuth技术的滥用

这并非攻击者首次诱骗目标授权恶意应用访问网络资源。去年，研究人员披露了至少两起类似事件，均旨在获取Google账户的访问权限。这些活动依赖于OAuth技术，这是一种开放标准，允许用户在不提供密码的情况下授权网站或应用访问网络资源。微软警告称，这种“同意钓鱼”攻击往往能绕过用户对传统钓鱼攻击的警惕，因为不需要在仿冒网站上输入密码。

防范措施

微软建议用户启用双因素认证（2FA）来防范此类攻击，但仅靠2FA可能不足以完全阻止这些攻击。对于Google和G Suite账户，用户可以通过启用“高级保护”来严格实施基于硬件的2FA，并限制只有少数应用可以连接。此外，用户还应学习识别钓鱼攻击的常见迹象，如拼写错误、语法错误以及指向不常见网站的链接。

结论

尽管这些防范措施并不完美，但钓鱼攻击的低成本和高效性使其成为攻击者常用的账户入侵手段。因此，遵循这些步骤仍然是值得的。