據(jù)BleepingComputer網(wǎng)站報(bào)道，一些網(wǎng)絡(luò)釣魚攻擊者正通過假冒美國(guó)大學(xué)網(wǎng)站登錄頁(yè)面，騙取學(xué)生和教職人員的Office 365賬號(hào)密碼。

據(jù)信，釣魚行為最早開始于今年10月，有多名攻擊者參與實(shí)施。安全機(jī)構(gòu)Proofpoint分享了有關(guān)網(wǎng)絡(luò)釣魚攻擊中使用的策略、技術(shù)和程序 (TTP) 的詳細(xì)信息。根據(jù)Proofpoint 共享的 URL，包括中央密蘇里大學(xué)、范德比爾特大學(xué)、阿肯色州立大學(xué)、普渡大學(xué)、奧本大學(xué)、西弗吉尼亞大學(xué)和威斯康星大學(xué)奧什科什分校在內(nèi)的多所美國(guó)高校受到了攻擊。

這些釣魚活動(dòng)始于一封電子郵件，攻擊者充分利用了疫情環(huán)境下人們的焦慮情緒，偽裝成有關(guān)最新奧密克戎(Omicron)變體、COVID-19 測(cè)試結(jié)果等信息，利用受害者點(diǎn)擊郵件中的HTM附件，將他們引導(dǎo)至由攻擊者精心準(zhǔn)備的虛假學(xué)校網(wǎng)站登錄頁(yè)面。

帶有HTM 附件的網(wǎng)絡(luò)釣魚電子郵件，來(lái)源：Proofpoint

根據(jù)公布的樣本來(lái)看，這些虛假頁(yè)面堪稱真實(shí)頁(yè)面的克隆版，不僅外觀幾乎一樣，URL也使用類似的命名模式，比如采用教育機(jī)構(gòu)單位使用的.edu后綴。

虛假大學(xué)網(wǎng)站登錄頁(yè)面，來(lái)源：Proofpoint

HTM附件在最近網(wǎng)絡(luò)釣魚中被頻繁使用，攻擊者能夠以此偷偷地將惡意軟件安裝到目標(biāo)設(shè)備上。但在此次針對(duì)美國(guó)大學(xué)的系列攻擊事件中，HTM包含指向能夠竊取憑證站點(diǎn)的網(wǎng)站鏈接。有時(shí)這些網(wǎng)站會(huì)是合法的WordPress站點(diǎn)，只是被攻擊者入侵并利用，因此當(dāng)受害者登陸時(shí)，安全軟件或電子郵件保護(hù)工具不會(huì)發(fā)出警報(bào)。

為了繞過目標(biāo)大學(xué)登錄頁(yè)面上的 MFA(多因素身份驗(yàn)證)保護(hù)，攻擊者還創(chuàng)建了欺騙雙重MFA頁(yè)面的虛假頁(yè)面，以騙取發(fā)送給受害者的手機(jī)驗(yàn)證碼。一旦完成上述操作，攻擊者就能成功獲得受害者賬戶的控制權(quán)。

在獲取受害者的Office 365賬戶后，攻擊者可訪問相應(yīng)的電子郵件賬戶，向其他人發(fā)送消息，以進(jìn)一步進(jìn)行網(wǎng)絡(luò)釣魚。此外，攻擊者還可訪問相關(guān)聯(lián)的OneDrive和SharePoint文件夾中的個(gè)人敏感信息，并由此引發(fā)勒索危機(jī)。

由于HTM 文件要在瀏覽器中打開，因此從技術(shù)上講，即使最后沒有上當(dāng)受騙，但從點(diǎn)擊的那一刻起就已經(jīng)存在安全隱患，最好的辦法，就是對(duì)這種未經(jīng)充分認(rèn)證且來(lái)歷不明的郵件直接刪除。

參考來(lái)源：

https://www.bleepingcomputer.com/news/security/us-universities-targeted-by-office-365-phishing-attacks/