网站 Bleeping Computer 先前报导,近日网络出现新钓鱼邮件,不法分子发送假扮 Office 365 无法送出邮件的提示信,尝试盗取用户的密码。最先由 ISC Handler 的 Xavier Mertens 发现,最妙的是钓鱼邮件会伪装成多封邮件未能送达的通知,提示用户「再次寄出」信件。
一旦用户点击「再次寄出」按钮,就会跳转到跟 Microsoft 登入页设计相同的钓鱼网站,然后要求用户输入帐户和密码。钓鱼网站此时会利用 Javascript 将用户的帐户和密码传给不法分子,再将用户带到正式的 Microsoft Office 365 登入网页。其实 Microsoft 并不会在邮件传送失败后,透过信件提供「再次寄出」选项,用户必须回到 Outlook 手动重新发送邮件。
另外,当邮件因种种原因无法寄出,系统会马上通知用户,不会过了很久才突然弹出通知。最后,用户输入帐户名称和密码前,只要检查一下网址是否来自 Microsoft 官方,相信就能避免上述网络钓鱼攻击。
文章转自:胜博发公益