偽裝成Microsoft Forms 釣魚攻擊增多
編譯/Cynthia
2024年7月,Microsoft 365 用戶頻繁成為釣魚攻擊的目標,攻擊者利用 Microsoft Forms 試圖竊取登入憑證。這些攻擊利用偽裝成合法的表單,誘使用戶輸入敏感資訊,特別是針對企業用戶的信任進行欺詐。雖然Microsoft已經採取釣魚防護措施,但這些攻擊依然可能繞過檢測,對用戶安全構成威脅。
偽裝的 Microsoft Forms 頁面
這些釣魚攻擊通常透過假的Microsoft Forms頁面進行。這些頁面看似合法,但實際上是假冒的 Microsoft 365或 Adobe 登入頁面。用戶點擊後,可能會被要求輸入登入憑證。這些頁面不是由 Microsoft主機提供,而是攻擊者設置的釣魚網站,目的是收集用戶的敏感資訊,如登入帳號和密碼,進行非法活動。
更多新聞:如何防範木馬及釣魚攻擊雲端 關鍵在心態
假冒郵件與釣魚連結
攻擊者經常利用被入侵的企業合作夥伴或供應商的電子郵件帳號,發送假冒郵件。這些郵件通常偽裝成郵件錯誤通知或投標邀請,試圖讓受害者相信其真實性。當受害者點擊郵件中的連結後,會被引導至偽造的 Microsoft Forms 表單。這些表單外觀與真正的 Microsoft 表單相似,容易讓人誤以為是正當的網站,最終洩漏個人資訊。
識別與報告釣魚攻擊
儘管 Microsoft 已經採取自動化釣魚防護措施來阻止惡意活動,但仍有部分釣魚連結可能逃過檢測。因此,用戶在處理來路不明的電子郵件時應格外小心,特別是當要求輸入敏感資訊時,需仔細檢查網址的真實性。如果發現有惡意的 Microsoft Forms,用戶可以利用表單底部的「檢舉濫用」(Report abuse)選項進行檢舉。
資料來源:Help Net Security
瀏覽 627 次