O365的“安全链接”安全么?

使用过O365高级威胁保护(Advanced Threat Protection, ATP,国际版的一个增值服务,2美元/月)的用户可能都收到过O365的安全提示和“安全链接”,这些安全措施旨在保护用户免受钓鱼网站的套路。但这些“安全链接”真的安全么?

首先我们来看看安全提示吧。

        ATP的行径是将原始网站包裹在outlook.com的安全链接下做一次重定向。如果目标URL是一个文件链接,那安全链接会对这个文件做扫描,以排除其恶意软件的可能性;如果目标URL是组织自定义的黑名单或微软定义的黑名单,安全链接会返回给用户安全警告;如果目标URL符合安全标准,用户就会被重定向到目标URL。

 

尽管安全连接的本意是为了阻挡钓鱼网站的攻击,但实际上会使你的邮箱更易受到钓鱼攻击。原因有以下四点:

  • IP欺诈可以骗过安全链接:就像上面说的,微软会先确定链接的安全性然后再把URL发布给用户。然而微软为Office365注册了许多EOP的公网地址,这些地址都是默认“安全”的。那黑客就会利用这个漏洞,伪装成EOP的IP(见下表),这样就骗过了ATP,成功将用户引向了钓鱼网站。

  • 多层嵌套的URL:“安全链接”只能识别URL的主体是不是属于公网的黑名单,但网上还有种比较流行的攻击叫做“嵌套攻击”,我们来看以下的URL。

https://www.google.com/url?sa=D&q=https://www.PhishingSite.com

google搜索显然是在微软的白名单,然后用户就会被直接定向到上述网站,尴尬的是google也不做安全扫描的事,用户就被再次重定向到粗体的URL上去了。

  • 光从链接无法判断的URL:我们真的不能对“安全链接”期望太高,因为嵌套的URL可能无处不在。以下是两个看似美国联邦快递UPS查询的链接,经过O365安全链接嵌套后,扔有一个会把用户引向钓鱼网站,你能看出来么?(安全起见,小编放截图不放链接)
  • 伪装的O365登录页:其实很多钓鱼网站的目的无非是窃取终端用户的秘钥,很多谨慎的用户在点开安全链接后会检查URL的真实地址,但当他们看到*.outlook.com时就会放宽心,因为这是微软的域名。殊不知他们很可能进了另一个租户的登录页,这个租户还是试用期用户,几天后就啥信息都找不见了,却带走了你的账户信息干着非你意愿的事情。

我们都知道勒索软件的第一步就是钓鱼邮件,没有人好端端地会去下载一个勒索软件玩。在“安全链接”都不安全的背景下,我们一般的公司和个人要怎样做好防钓鱼攻击呢?且听小编下回分解。

邮才 ∣有才有态度的邮件社区

 

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP
发布于: 浏览:136 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。