微軟：您的密碼不會過期，這封電子郵件是詐騙！

目前，一種新的網路釣魚活動針對使用 Microsoft 365 的專業人士。當然，這都是假的。

每週都有新的網路釣魚活動發生。在此之後針對 Orange 訂閱者的詐騙甚至其中許多假簡訊要求快速支付罰款，輪到使用者了微軟365成為目標。

根據我們的同事報道努梅拉馬,新的網路釣魚活動目前針對許多法國公司。對於此操作，駭客使用了技巧，因為他們向每個目標發送帶有個人化地址的虛假電子郵件。這個想法是要到達整個層次結構，從秘書到執行長再到執行長。

這個活動看起來怎麼樣？受影響的用戶會收到一封來自 Microsoft 的虛假電子郵件，表明他們的 Microsoft 365 密碼即將過期。像往常一樣，服務的介面和美學被完美再現（標誌、字體等）。

YouTube 存在一個不被關注的漏洞

當然，我們提供了一個連結來幫助您更改密碼或保留舊密碼。到目前為止，陽光下並無新鮮事。這就是這個網路釣魚活動與其他活動略有不同的地方。

為了避免被偵測工具偵測到，駭客利用 YouTube 的安全漏洞。簡單來說，他們利用視訊平台的網域作為虛假電子郵件和釣魚頁面之間的中繼。

“該技術可以將電子郵件的反垃圾郵件過濾器可能偵測到的詐騙超連結整合到合法的 YouTube URL 中。Vade 網路安全專家 Antoine Morel 向我們的同事解釋。

他們甚至添加了驗證碼！

一旦受害者點擊鏈接，他們就會被重定向到登錄頁面。她必須在此輸入她的電子郵件地址和密碼。只為讓畫面更完美，駭客甚至整合了 Cloudflare 驗證碼以確保您不是機器人。

你會明白，這就是陷阱關閉的地方。點擊“連接”或“登入”後，不會發生任何事情。另一方面，您的密碼和電子郵件地址將直接落入駭客手中，要么被出售，要么稍後用於其他攻擊。

正如 Vade 研究人員（這項發現的起源）提醒我們的那樣，始終有必要檢查網站的域名在輸入您的電子郵件/密碼組合之前。在業務中，如果此電子郵件是否真實，請聯絡您公司的 IT 部門。