情境示意圖

收信回條或休假自動回覆是商務人士慣用的郵件功能,不過研究人員發現這些工具被駭客用來突破郵件過濾的安全防護,成為對企業用戶發動恐嚇信等郵件攻擊的新手法。

安全廠商Abnormal Security指出,去年聖誕節期間,正當許多企業員工休長假大量使用到收信回條及休假回覆時,有歹徒利用這兩個功能將詐騙郵件導向Microsoft365的用戶信箱。

研究人員說明,在使用收信回條的攻擊中,歹徒先準備好一封勒索郵件,再修改郵件標頭的「Disposition-Notification-To」,然後寄發郵件給目標人士。被修改的標頭驅動收信回條,使收信的受害者會收到包含原始勒索信件內文,而非發信的攻擊者。在這情況下,雖然郵件過濾工具可以自動擋下勒索信件,但由於回條不會被擋下,因此勒索信件就能成功進入受害者信箱內。

而在休假回覆(out of office notice)的攻擊情境中,歹徒同樣寄發勒索信件給目標人士,但是修改郵件標頭「Reply-To」。和前面的攻擊不同在於,當目標收信者開啟了休假回覆功能,這個被驅動的回覆通知會被導向另一名目標人士,而非攻擊者或原收信者。同樣的,原始勒索信件被郵件過濾工具擋下,但包含勒索信件的休假回覆通知仍進入另一名人士的信箱中。

所幸本波郵件攻擊只包含純文字,沒有任何連結,比較像是騷擾信,稍有資訊素養的收信者不管它就沒事了,但是卻展現郵件系統的合法流程也會被用作不正當用途,萬一攻擊者使用更精細的手法,例如加入釣魚網站連結或惡意檔案而剛好未被安全系統掃瞄到,企業用戶就可能因此受害。


熱門新聞

Advertisement