钓鱼邮件攻击出现新手法，骇客采用摩斯编码、ASCII等多种编码来混淆附件内容

攻击者为了避免钓鱼邮件遭到拦截，附件档案很可能会利用较为少见的档案格式，来挟带作案工具，例如，光碟映象档（ISO、IMG），甚至是Windows映象档格式（WIM）等，这些档案格式对于部分邮件防护系统而言，无法解读其中的内容，没办法得知是否有害。但最近也有攻击者改变策略，使用一般邮件可能会出现的附件档案类型，来挟带含有攻击意图的工具，避免上述附件的档案格式可能会被网管人员列为黑名单封锁的情况。

最近微软揭露一起挟带HTML档案的钓鱼邮件攻击，攻击者以寄送发票为幌子，目的是要偷取使用者Office 365的帐密。这起攻击行动自2020年7月出现，为期至少一年，而当中较为特别的地方，就是攻击者借由Base64、ASCII、Unicode、摩斯编码，将HTML程式码混淆，来规避邮件防护系统检查内容的范围，而且，攻击者每隔1到2个月（平均间隔37天），便会调整、改进编码搭配的方式，使得这类钓鱼邮件的附件更难被察觉异状。

值得留意的是，并非整个HTML档案的程式码，攻击者都会采用相同的编码进行混淆，而是有可能在不同的程式码片段，利用2至3种编码。微软指出，从HTML程式码的功能来看，大致可区分为4个模组。

第1个是攻击目标的电子邮件信箱位址，第2个则是从特定来源网站取得受害者所属企业的商标，假若来源网站没有对应的图片档案，HTML档案便会显示Office 365图示。

接着，第3与第4个模组皆为JavaScript程式码，但功能不同：第3与模组的用途，是载入看起来很模糊的Excel文件画面，并显示使用者登入Office 365逾时，需要重新登入。

至于第4个模组的用途，则是会显示假的Office 365登入界面，一旦使用者上当输入账密，这组程式码便会将账号资料回传，并显示输入密码错误的讯息。

从微软汇整出的混淆手法演进过程而言，骇客迄今已经更换了10次混淆手法。例如，以攻击初期（2020年7月）而言，骇客尚未采用混淆手法，HTML档案的内容，皆是一般明文的HTML程式码；而到了2020年8月下旬至10月的攻击行动中，攻击者开始针对企业商标的图片，以及钓鱼工具套件的来源网域，采用Escape编码机制来进行混淆处理，其余部分仍是使用明文的HTML程式码。

在这些混淆手法的演进过程中，攻击者混合了多种算法来处理附件的HTML档案，像是Base64、ASCII、Unicode编码，以及摩斯编码等，甚至还有部分模组透过二次编码处理的情况，混淆手法可说是相当复杂。

微软指出，这样的HTML档案，各部分程式码看起来都是无害的，只有在经过解密且组合在一起的时候，才会显现攻击意图，因此，许多邮件防护系统可能难以侦测出异常。