25%的网钓邮件可以躲过Office 365内建的安全机制

云端安全业者Avanan在最近公布的《全球网钓邮件报告》中指出，有25%的网钓邮件能够躲过Office 365内建的Exchange Online Protection（EOP）安全机制，另有5.3%的网钓邮件是因管理员的配置错误，而送到使用者的信箱。

网钓攻击通常是借由电子邮件接触使用者，诱导使用者开启恶意档案或点击恶意连结，以于电脑上植入恶意程式或骗取使用者的凭证，是最近10年来最普遍的威胁。

Avanan扫描了5,550万封寄至Office 365及G Suite的电子邮件，其中有5,238万封是寄至Office 365，有312万封寄至G Suite，在每99封电子邮件中就找到1封网钓邮件。

在所有被Avanan侦测到的逾65万封网钓邮件中，有高达50.7%的网钓邮件含有恶意程式，有40.9%是为了窃取使用者凭证，另有8%为的是勒索，0.4%为鱼叉式网钓。

这些网钓邮件看起来与合法邮件并无不同，它们也许都来自知名品牌、都含有源自Google Drive的连结、都采用短网址，也都未揭露收件人名单，不过网钓邮件有些特别明显的特征，例如若含有连往WordPress网站的连结，有35%属于网钓邮件，若含有加密钱包位址，更有98%是网钓邮件。

网钓邮件也经常冒用知名品牌的名义寄送邮件，最常被冒用的是微软，占了43%，居次的则是Amazon，占38%，另有9%冒用PayPal、花旗银行、HSBC等金融品牌，以及2.5%冒用的是UPS、FedEx与DHL等物流品牌。

该公司特别分析了寄到Office 365的电子邮件，发现有25%的网钓邮件被EOP认定为安全邮件，还有5.3%的网钓邮件是因管理人员的配置错误，将它们列入白名单而寄到使用者信箱，意味着有30.3%的网钓邮件可成功抵达Office 365用户信箱。

Avanan指出，骇客主要是透过隐匿手法绕过EOP邮件防护机制，例如将恶意网址拆分以让EOP无法识别，或者是以畸型的邮件形式及附加档案来混淆EOP，也会将恶意连结藏在看似无害的附加档案中。Avanan说，隐匿手法不管是对EOP或微软的进阶威胁防护（Advanced Threat Protection，ATP）都非常有效，但骇客却不常用，猜测是为了避免攻击手法曝光而受到围堵所采取的策略。