Microsoft 365 用戶成為濫用 Microsoft Forms 的釣魚攻擊目標

本月針對 Microsoft Forms 的釣魚活動有所增加，目標在於取得 Microsoft 365 登入憑證。
 
Microsoft Forms（前身為 Office Forms）是 Microsoft 365 產品套件的一部分，用於透過調查、測驗和投票收集回饋和資訊。
 
威脅行為者經常利用遭入侵的商業夥伴和供應商的電子郵件帳戶發送釣魚郵件。在最新的活動中，這些郵件以來自 Microsoft 的假冒郵件錯誤通知和投標邀請的形式出現。
 
用戶點擊提供的連結會被導向一個 Microsoft Form，其中包含另一個連結，要求用戶點擊以驗證帳戶或查看「安全文件」。這些連結會將用戶帶到 Microsoft 365 或 Adobe 的釣魚頁面（非 Microsoft 主機）。

識別並舉報釣魚

透過 Microsoft Forms 進行釣魚並非新手段。雖然 Microsoft 已透過實施自動釣魚防護來偵測表單和調查中的惡意密碼收集，但顯然這並不是每次都能成功識別惡意嵌入的連結。
 
偵測釣魚郵件也很困難，因為這些郵件來自合法的電子郵件帳戶，並導向信譽良好 Microsoft Forms（forms.office.com）的網站。
 
當這些郵件通過所有現有的保護措施時，就需要用戶自己來識別釣魚。
 
Perception Point 研究人員指出：「攻擊者透過使用令人信服的頁面標題和熟悉的網站圖標來增強其表單的可信度。網站圖標是顯示在瀏覽器標籤中的小圖示，透過使用 Microsoft 熟悉的圖標，攻擊者增加了其假冒頁面的感知合法性。這些視覺提示可以輕易誤導用戶相信他們正在一個真正的 Microsoft 網站上。」
 
在這種情況下，通常建議不要點擊未經請求的電子郵件中的連結可能不太有效，但用戶應養成習慣，在意外進入任何登入頁面時，在輸入憑證之前檢查 URL。
 
惡意的 Microsoft Forms 可以通過每個表單底部提供的「舉報濫用」選項進行舉報。

本文轉載自helpnetsecurity。