钓鱼邮件以合法网域掩护发动攻击，40万Office 365、OWA邮件帐密被窃

微软本周稍早发出公告，骇客正利用包括Google App Engine在内的合法网域发送钓鱼信件，绕过邮件安全过滤机制入侵企业，已有超过40万的Office 365及Outlook Web Access (OWA)登入账密遭窃走。

这波攻击是WMC Global发现的Compact Campaign钓鱼攻击的一部分，从去年12月开始持续活动至今。钓鱼信件内容包含冒充的Zoom视讯连线邀请连结，骗取用户输入OWA或Office 365帐密。迄今已经有40多万笔账密遭窃。

Compact Campaign得逞原因是它利用被骇入的合法邮件服务业者的网域发送信件，而成功避免邮件过滤封锁。遭利用的邮件服务业者一开始以SendGrid为主， 去年多了Amazon SES (Simple Email Service)，今年一月又新增Mailgun等服务。但微软安全情报小组最近侦测到，攻击者还使用Appspot.com网域为不同钓鱼邮件收信者建立不同的URL。Appspot.com是Google App Engine的网域名。透过滥用合法网域，将可提高钓鱼邮件躲过网域信誉为基础的过滤机制。

微软的Defender for Office 365已经可侦测这波攻击。但微软指出，这波钓鱼邮件攻击是利用被骇的邮件行销账号为之，因此微软强烈建议企业重新检讨邮件传送规则，允许大量例外的规则可能让钓鱼信件乘虚而入。