要点

  1. 钓鱼攻击技术升级:
    • Guardz 曝光利用 Microsoft 365 默认域名(onmicrosoft.com)和租户间邮件转发功能的新型钓鱼手法, 伪造自动账单邮件绕过检测.
    • 思科 Talos 揭露 "隐藏文本加盐" 和 CSS 滥用技术, 攻击者通过 HTML/CSS 隐藏乱码字符混淆过滤系统, 并利用追踪像素收集设备信息(如客户端类型和操作系统).
    • Cofense 发现针对 Meta 商业客户的钓鱼攻击, 伪造账户管理界面并配置聊天机器人及 2FA 重置指南, 意图劫持账户.
  2. 行业安全漏洞与合规挑战:
    • Paubox 报告医疗行业暴露严重配置缺陷: 43.3% 安全事件与 Microsoft 365 相关, 37.2% 租户遭入侵, SPF/DMARC 设置不足普遍存在; 勒索攻击同比激增 264%.
    • Exchange Online 因反垃圾邮件系统误判导致用户邮件被错误隔离, 叠加审核页面故障加剧处理难度.
  3. 防御与行业动态:
    • Cloudflare 为美国政治竞选免费提供邮件安全服务(Cloudflare for Campaigns), 强化敏感活动防护.
    • Social Lab 职场邮件调研揭示六大不专业行为(如时间不当, 冗长内容, 误用 CC/BCC), 提示企业需优化沟通规范.

周报

  1. 安全供应商 Guardz 报告了利用 Microsoft 365 商业版的 onmicrosoft.com 默认域名进行钓鱼邮件活动的案例. 攻击者利用 Microsoft 365 自动账单邮件中的模板字段在组织名称中包含钓鱼信息, 然后使用多个其他租户利用 Exchange Online 无需确认的邮件转发功能将邮件多次传递包装后传递到受害者邮箱中. [1]
  2. 社交数据分析公司 Social Lab 调查近一年的职场邮件数据, 给出了该领域邮件通讯中最容易引起反感的六大不专业行为: 寄信时间不当; 内容冗长缺乏重点; 写错收件者姓名; 用语不够正式/礼貌; 误用 CC/BCC; (标题)主旨不清晰. [2]
  3. 思科威胁研究机构 Talos 在今年 1 月发布威胁报告称, 利用 "隐藏文本加盐(hidden text salting, poisoning)" 产生的威胁事件在 24 年下半年有所增加, 并详细举例介绍了攻击者如何利用这种技术: 攻击者利用 HTML, CSS 和特殊排版效果字符在邮件中创建机器可见但人类不可见(读)的元素使其邮件过滤设施产生混淆从而绕过过滤.[3]
  4. 本月 13 日, 思科 Talos 继续补充发布有关 CSS 滥用的邮件威胁专题报告. 攻击者利用 CSS 隐藏 HTML 邮件中掺杂的无意义字符元素, 比如将乱码元素隐藏和移出视窗范围, 也有直接将元素设置为透明, 从而欺骗过滤设施. 还有攻击者将大量与邮件可见内容不相关的其他语言内容加入后隐藏, 从而做到让过滤设施激活错误的地区性过滤措施, 降低实际起作用的钓鱼邮件内容的敏感度. 还有攻击者通过不同的追踪像素直接收集受害者信息, 不仅仅是通过直接的 <imag> 标签跟踪受害者 IP 地址, 这些跟踪像素还会通过 CSS 的 @media 查询设置不同的追踪像素: 判断客户端的色彩模式从而大致判断受害者的设备时间, 跟踪打印操作, 为特定客户端的专有元素设置背景来判断受害者的客户端类型, 判断不同视窗宽度从而大致判断受害者设备类型, 判断特定的字体显示不同的元素和背景图片从而判断受害者的操作系统类型. [4]
  5. 美国电子邮件安全软件供应商 Paubox 发布 2025 年医疗保健行业的电子邮件安全报告, 报告样本包含了去年 180 家医疗保健机构向美国卫生与公众服务部(HHS)民权办公室(OCR)报告的电子邮件相关安全事件. 报告指出, 所有事件中只有 5% 是由本机构员工报告的, 近年勒索攻击激增 264%; 该行业 43.3% 的事件都与 Microsoft 365 相关, 主要原因是机构未能正确配置 Microsoft 提供的安全工具, 而其中的 37.2% 的 Microsoft 365 租户是直接遭到了入侵, 24.4% 的租户即使购买了 E5 安全许可但仍然是高风险状态; 对于基础传递策略实践, 12.2% 的机构缺失 SPF, 40% 的机构设置为 soft fail, DMARC 方面 30.6% 机构缺失, 34.4% 处于仅监控的无主动策略声明状态. [5]
  6. Cloudflare 本月 17 日宣布免费为美国政治竞选活动提供免费 Cloudflare for Campaigns 服务, 相关团体可提交申请表获取. 该服务是 Cloudflare 提供的专门为该类活动邮件提供保护的安全工具, 属于 Email Security 产品的一部分. [6]
  7. Exchange Online 于 21 日出现故障, 反垃圾邮件系统会错误隔离一些用户的电子邮件, Microsoft 在事故报告中表示这是由于该组件错误地分类并隔离了部分特定的 URL 导致的. 与此同时, Exchange Online 管理员中心用于处理这些隔离邮件的 "审核" 页面也正好处于故障中, 所以部分管理员也无法手动处理这些被错误隔离的邮件. [7]
  8. Cofense 报告了一起针对 Meta 商业客户的钓鱼邮件攻击, 该邮件精心伪造了 Meta 的账户管理界面和信息表单, 甚至还配置了聊天机器人和 2FA 重置指南, 只为了夺取目标受害者的 Meta 账户控制权. [8]

注释

  1. Sophisticated Phishing Campaign Exploiting Microsoft 365 Infrastructure | Guardz.com ↩︎

  2. 職場信件潛規則!踩這「六大地雷」讓專業度大扣分 ↩︎

  3. Seasoning email threats with hidden text salting ↩︎

  4. Abusing with style: Leveraging cascading style sheets for evasion and tracking ↩︎

  5. 2025 healthcare email security report ↩︎

  6. Email Security now available for free for political parties and campaigns through Cloudflare for Campaigns ↩︎

  7. Microsoft: Exchange Online bug mistakenly quarantines user emails ↩︎

  8. Clickbait to Catastrophe: How a Fake Meta Email Leads to Password Plunder ↩︎

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~