Office 365网络钓鱼滥用Google Ads绕过电子邮件过滤器

7月31日消息：Office 365网络钓鱼活动滥用Google Ads绕过安全电子邮件网关(SEG)，将目标组织的员工重定向到网络钓鱼登陆页面，并窃取其Microsoft凭据。

这些攻击背后的攻击者利用了以下事实：SEG忽略了Google Ads平台使用的域，这使他们可以绕过电子邮件过滤器将网络钓鱼邮件传递到目标收件箱。

SEG旨在使用过滤堆栈阻止垃圾邮件和网络钓鱼尝试到达用户的邮箱，该过滤堆栈将扫描所有传入的电子邮件中是否包含恶意内容。

有针对性的网络钓鱼活动

网络钓鱼电子邮件是通过发现此活动的Cofense网络钓鱼防御中心(PDC)研究人员从受感染帐户发送给多个组织的员工的。

潜在的受害者会被告知最近的政策变更，并被要求接受变更以继续使用服务。

但是，网络钓鱼电子邮件中嵌入的接受按钮会在Google Ads重定向的帮助下将受害者重定向到网络钓鱼的登陆页面。

这暗示了这样一个事实：攻击者为Google广告付费，然后使用广告的URL将目标重定向到用于窃取Office 365凭据的页面，从而确保受害者始终收到其网络钓鱼邮件。

资料来源：Cofense

此活动中使用的网络钓鱼页面旨在模仿合法的Microsoft页面，这些页面具有Microsoft徽标和目标公司的徽标。

将目标首先发送到克隆的Microsoft隐私策略页面，然后发送到模仿受害者的公司品牌Office 365登录页面的最终网络钓鱼页面

一旦他们输入了凭据并单击“下一步”按钮，他们的帐户信息便立即发送到网络钓鱼者，并被发送到显示“我们已更新条款”的新页面。信息。

作为旨在向受害者隐藏攻击的最终措施，将成为此网络钓鱼攻击受害者的员工发送到“ Microsoft服务协议”页面。

资料来源：Cofense 用于绕过电子邮件过滤器的其他方法

网络钓鱼者已使用多种策略来确保其网络钓鱼邮件有较高的机会规避其目标的电子邮件保护过滤器。

最近的一个例子是针对性很强的美国银行网络钓鱼活动，该活动使用SendGrid成功通过SPF，DKIM和DMARC身份验证检查，发送的邮件正文内容不包含指向恶意域的链接。

过去，其他网络钓鱼者通过使用QR码和WeTransfer文件共享通知来绕过安全过滤器，以确保其电子邮件到达目标收件箱。

还发现他们滥用网络钓鱼活动来滥用Google Docs，Google Drive和Microsoft SharePoint，这些活动能够躲避SEG感染恶意软件或窃取其凭据和财务信息。