網站 Bleeping Computer 早前報導指,近日互聯網出現新式的網絡釣魚電郵,不法分子發送假扮 Office 365 無法送出郵件的提示電郵,藉此嘗試盜取用戶的密碼。最先由 ISC Handler 的 Xavier Mertens 發現,最巧妙的是釣魚郵件會偽裝為多封郵件未能送遞的通知,提示用戶「再次寄出」電郵(下圖)。
一旦用戶點擊「再次寄出」按鈕,就會跳轉到跟 Microsoft 登入頁設計相同的釣魚網站,然後會被要求用戶輸入帳戶名稱和密碼。釣魚網站此時會利用 Javascript 將用戶的帳戶名稱和密碼傳給不法分子,在將用戶帶到正式的 Microsoft Office 365 登入網站。其實 Microsoft 並不會在電郵傳送失敗後,透過電郵提供「再次寄出」的選項,用戶必須回到 Outlook 手動重新發送郵件。
另外,當郵件因種種原因無法寄出,系統會馬上通知用戶(上圖),不會過了很久才突然彈出通知。最後,用戶在輸入帳戶名稱和密碼前,只要檢查一下網址是否來自 Microsoft 官方,相信就能避免上述的網絡釣魚攻擊。