Microsoft 365的收信回条、休假自动回复被骇客用来对企业用户发动攻击

收信回条或休假自动回复是商务人士惯用的邮件功能，不过研究人员发现这些工具被骇客用来突破邮件过滤的安全防护，成为对企业用户发动恐吓信等邮件攻击的新手法。

安全厂商Abnormal Security指出，去年圣诞节期间，正当许多企业员工休长假大量使用到收信回条及休假回复时，有歹徒利用这两个功能将诈骗邮件导向Microsoft365的用户信箱。

研究人员说明，在使用收信回条的攻击中，歹徒先准备好一封勒索邮件，再修改邮件标头的“Disposition-Notification-To”，然后寄发邮件给目标人士。被修改的标头驱动收信回条，使收信的受害者会收到包含原始勒索信件内文，而非发信的攻击者。在这情况下，虽然邮件过滤工具可以自动挡下勒索信件，但由于回条不会被挡下，因此勒索信件就能成功进入受害者信箱内。

而在休假回复（out of office notice）的攻击情境中，歹徒同样寄发勒索信件给目标人士，但是修改邮件标头“Reply-To”。和前面的攻击不同在于，当目标收信者开启了休假回复功能，这个被驱动的回复通知会被导向另一名目标人士，而非攻击者或原收信者。同样的，原始勒索信件被邮件过滤工具挡下，但包含勒索信件的休假回复通知仍进入另一名人士的信箱中。

所幸本波邮件攻击只包含纯文字，没有任何连结，比较像是骚扰信，稍有资讯素养的收信者不管它就没事了，但是却展现邮件系统的合法流程也会被用作不正当用途，万一攻击者使用更精细的手法，例如加入钓鱼网站链接或恶意档案而刚好未被安全系统扫描到，企业用户就可能因此受害。