據(jù)BleepingComputer網(wǎng)站報道，一些網(wǎng)絡(luò)釣魚攻擊者正通過假冒美國大學網(wǎng)站登錄頁面，騙取學生和教職人員的Office 365賬號密碼。

據(jù)信，釣魚行為最早開始于今年10月，有多名攻擊者參與實施。安全機構(gòu)Proofpoint分享了有關(guān)網(wǎng)絡(luò)釣魚攻擊中使用的策略、技術(shù)和程序 (TTP) 的詳細信息。根據(jù)Proofpoint 共享的 URL，包括中央密蘇里大學、范德比爾特大學、阿肯色州立大學、普渡大學、奧本大學、西弗吉尼亞大學和威斯康星大學奧什科什分校在內(nèi)的多所美國高校受到了攻擊。

這些釣魚活動始于一封電子郵件，攻擊者充分利用了疫情環(huán)境下人們的焦慮情緒，偽裝成有關(guān)最新奧密克戎(Omicron)變體、COVID-19 測試結(jié)果等信息，利用受害者點擊郵件中的HTM附件，將他們引導至由攻擊者精心準備的虛假學校網(wǎng)站登錄頁面。

帶有HTM 附件的網(wǎng)絡(luò)釣魚電子郵件，來源：Proofpoint

根據(jù)公布的樣本來看，這些虛假頁面堪稱真實頁面的克隆版，不僅外觀幾乎一樣，URL也使用類似的命名模式，比如采用教育機構(gòu)單位使用的.edu后綴。

虛假大學網(wǎng)站登錄頁面，來源：Proofpoint

HTM附件在最近網(wǎng)絡(luò)釣魚中被頻繁使用，攻擊者能夠以此偷偷地將惡意軟件安裝到目標設(shè)備上。但在此次針對美國大學的系列攻擊事件中，HTM包含指向能夠竊取憑證站點的網(wǎng)站鏈接。有時這些網(wǎng)站會是合法的WordPress站點，只是被攻擊者入侵并利用，因此當受害者登陸時，安全軟件或電子郵件保護工具不會發(fā)出警報。

為了繞過目標大學登錄頁面上的 MFA(多因素身份驗證)保護，攻擊者還創(chuàng)建了欺騙雙重MFA頁面的虛假頁面，以騙取發(fā)送給受害者的手機驗證碼。一旦完成上述操作，攻擊者就能成功獲得受害者賬戶的控制權(quán)。

在獲取受害者的Office 365賬戶后，攻擊者可訪問相應的電子郵件賬戶，向其他人發(fā)送消息，以進一步進行網(wǎng)絡(luò)釣魚。此外，攻擊者還可訪問相關(guān)聯(lián)的OneDrive和SharePoint文件夾中的個人敏感信息，并由此引發(fā)勒索危機。

由于HTM 文件要在瀏覽器中打開，因此從技術(shù)上講，即使最后沒有上當受騙，但從點擊的那一刻起就已經(jīng)存在安全隱患，最好的辦法，就是對這種未經(jīng)充分認證且來歷不明的郵件直接刪除。

參考來源：

https://www.bleepingcomputer.com/news/security/us-universities-targeted-by-office-365-phishing-attacks/