骇客滥用牛津大学、Adobe及三星资源，对Office 365用户展开网钓攻击

以色列资安业者Check Point近日揭露了一起盗用英国牛津大学、Adobe及三星电子旗下资源所展开的网钓攻击行动，骇客企图透过这些合法的品牌来掩护攻击行动，使得不管是企业的安全机制或是使用者皆难以察觉。

这波网钓攻击经过了精心的策画，企图同时欺骗使用者及企业的安全机制。为了取信于使用者，邮件主旨写上了受害者企业名称，邮件内容则有受害者名字，并说使用者有一通未接的语音讯息，于邮件中嵌入一个“聆听/下载”按键，以将使用者导至Office 365的凭证输入画面来听取留言。

而为了逃避安全机制的侦测，骇客挟持了英国牛津大学的SMTP服务器，其原始信件是来自NordVPN，但绕道牛津的SMTP与中继服务器，让寄件人的网域显示为牛津大学，闪过安全机制的第一道检查。

而藏匿在按键中的连结，则是盗用了三星所使用的Adobe Campaign服务器。Adobe Campaign是Adobe所推出的行销服务，而三星在加拿大的分公司，因使用了该服务而设立了一个专用服务器，此一行销专用的服务器是开放的，而Adobe Campaign则有一个重新导向功能，能够将使用者导至特定的网址，以计算行销效益。

于是，骇客潜入了三星的Adobe Campaign服务器，窜改了三星旧有行销活动的导向路径，且并非直接导至网钓页面，而是先导到已经被骇客危害的WordPress网站，以WordPress网站作为掩护及跳板，再将使用者送到网钓页面。

由于不管是寄件人的邮件位址，或是邮件中所包含的连结，都是来自于看起来合法及可靠的来源，因而可躲过寻常的安全机制。

Check Point指出，除了牛津大学以外，骇客并非借由安全漏洞入侵三星或Adobe，只是滥用了它们的资源，同时这也突显了本地端的安全解决方案很容易就被绕过，建议企业最好采用云端及电子邮件安全解决方案，此外，Adobe也已采取了必要行动，以预防骇客再借由其服务发动类似的攻击。