微软秘密查封新冠肺炎主题电子邮件网络攻击中使用的域名

这家科技巨头在周二的一篇博客文章中宣布取消商业电子邮件泄露业务。

微软消费者安全主管汤姆·伯特(Tom Burt)表示，攻击者试图进入受害者的电子邮件收件箱、联系人和其他敏感文件，以便向企业发送看起来像是来自可信来源的电子邮件。攻击的最终目标是窃取信息或重定向电汇。

去年，美国联邦调查局(FBI)表示，商业电子邮件泄露攻击导致企业损失超过17亿美元。

微软表示，它在去年12月首次检测到并阻止了这一操作，但攻击者又回来了，利用新冠肺炎疫情作为打开恶意电子邮件的新诱饵。微软表示，仅在一周内，攻击者就向数百万用户发送了恶意电子邮件。

上个月，该公司秘密寻求法律行动，要求联邦法院允许其控制并“挖坑”攻击者的域名，有效地关闭了运营。法院在不久之后批准了微软的请求，但是密封的，防止了攻击者得知他们的运营即将关闭。

它显示出一种日益增长的趋势，即在时间至关重要的情况下，利用美国法院系统来关闭网络攻击，而不需要联邦当局的参与，这一过程往往繁琐、官僚，而且很少会很快。

伯特说：“这起针对新冠肺炎(商业电子邮件泄露)攻击的独特民事案件使我们能够主动禁用作为犯罪分子恶意基础设施一部分的关键域名，这是保护我们客户的关键一步。”

微软拒绝透露是谁，或者是否知道谁是这次攻击的幕后黑手，但一位发言人证实，这不是一个民族国家支持的行动。

这次攻击的运作方式是欺骗受害者交出对他们电子邮件账户的访问权限。TechCrunch看到的法庭文件描述了攻击者是如何使用“钓鱼电子邮件被设计成看起来像是来自雇主或其他可信来源的”，而设计成看起来像是来自微软的合法电子邮件。

单击后，网络钓鱼电子邮件将打开合法的Microsoft登录页面。但一旦受害者输入用户名和密码，受害者就会被重定向到由攻击者构建和控制的恶意网络应用程序。如果用户被骗批准Web应用程序访问他们的帐户，Web应用程序就会虹吸出来，并将受害者的帐户访问令牌发送给攻击者。帐户访问令牌旨在使用户在无需重新输入密码的情况下保持登录，但如果被盗和滥用，可以授予对受害者帐户的完全访问权限。

Burt说，恶意操作允许攻击者欺骗受害者，让他们交出对自己账户的访问权限，“而不是明确地”要求受害者交出用户名和密码，“就像他们在更传统的网络钓鱼行动中所做的那样。”

通过访问这些账户，攻击者将完全控制这些账户，以发送旨在欺骗公司交出敏感信息或实施欺诈的欺诈性信息，这是受经济驱使的攻击者的常见策略。

伯特说，通过删除攻击者在攻击中使用的域名，针对攻击者的民事诉讼让公司“主动禁用了作为犯罪分子恶意基础设施一部分的关键域名”。

这并不是微软第一次要求法院授予其恶意域名的所有权。在过去的两年里，微软控制了俄罗斯和伊朗支持的黑客的域名。