2022年8月4日
使用微软邮件服务的企业正遭到大规模网钓攻击
资安业者Zscaler在今年6月发现一个大规模的网钓活动，锁定使用微软电子邮件服务的企
业，而且采用了先进的中间人（AiTM）攻击，以绕过多因素认证（MFA）机制，目的是挟
持受害者的微软帐号，并展开商业电子邮件诈骗（BEC）
资安业者Zscaler本周警告，他们在今年6月发现了一个大规模的网钓活动，此一恶意活动
锁定了使用微软电子邮件服务的企业，而且采用了先进的中间人（
Adversary-in-The-Middle，AiTM）攻击，以绕过多因素认证（Multi-Factor
Authentication，MFA）机制，目的是挟持受害者的微软帐号，并展开商业电子邮件诈骗
（Business Email Compromise，BEC）。
在AiTM网钓攻击中，骇客在使用者与所造访的网站之间建立一个代理服务器，藉以窃取使
用者所输入的凭证，以及已通过身分认证的期间Cookie，因而得以挟持使用者的帐号。
微软在今年7月初也曾揭露类似的攻击行动，强调骇客是借由AiTM盗走了期间Cookie，因
而不论使用者采用任何身分认证方法，都无损于骇客获准进入期间的能力，并非为MFA的
安全漏洞。
根据Zscaler的观察，骇客的攻击对象遍布美国、英国、新西兰与澳洲，涵盖金融科技、
借贷、保护、能源与制造业，虽然坊间已有常见的AiTM网钓套件，诸如Evilginx2、
Muraena与Modlishka，但骇客在这波攻击中使用的是客制化套件，且在文章发表时，相关
攻击仍在持续中，每天都会注册新的网钓网站。
所有的攻击都是始于网钓邮件，并于邮件中嵌入恶意连结，有些企业的主管在被骇之后，
其帐号还被用来寄送更多的网钓邮件，骇客亦滥用合法的CodeSandbox与Glitch等服务（
下图），以及部署了各种伪装，以确保不被资安管理人员或安全机制发现。
Zscaler也部署了一个诱捕系统（Honey Pot），造访骇客所提供的网钓网页、输入了凭证
并完成多因素认证，发现骇客在取得凭证的8分钟之后，便登入了Zscaler所设立的帐号，
不过，骇客只是检查了该帐号的使用者档案，并读取了电子邮件，并未执行其它的恶意行
动。但这8分钟令Zscaler猜测帐号被危害之后的攻击行动，是手动而非自动化的。
另一方面，根据美国联邦调查局（FBI）网络犯罪投诉中心（Internet Crime Complaint
Center，IC3）2021年的统计，商业电子邮件诈骗（Business Email Compromise，BEC）
是去年网络犯罪投诉数量排行榜上的第九名，远不如网钓、交易诈骗、个资外泄、身分窃
盗或勒索等，但该类型的诈骗却高居损失排行榜的第一名，去年因BEC而造成的损失为24
亿美元，占所有网络犯罪金额的35%，也无怪乎骇客费力部署AiTM的最终目的是进行商业
电子邮件诈骗。
Zscaler亦已公布此波大规模网钓攻击的网络入侵指标（IOC）供外界参考。
https://www.ithome.com.tw/news/152306