駭客通過多種方法,取得受害者 Office 365 的帳號權限,例如透過先前駭侵時得到的帳密資料庫 (因為多數用戶會在不同服務重覆使用同一組帳密),或是利用暴力嘗試法攻破僅設定簡單密碼的用戶帳號;社交工程或釣魚郵件也是常用的手法。
資安公司 Barracuda 發表研究報告,指出該公司觀測到愈來愈多針對企業 Office 365 帳號的駭侵活動。
報告指出,該公司企業客戶中,有 29% 企業用 Office 365 帳號,在 2019 年三月曾遭駭客攻擊;僅一個月內,駭客就用被駭的 Office 365 帳號,發送超過一百五十萬封惡意垃圾郵件。
該報告也指分析了針對 Office 365 發動惡意攻擊的 IP 來源國,中國為最大宗,占 23%。其次分別為巴西 (9%)、俄羅斯 (7%)、荷蘭 (5%)、越南 (5%)。
駭客成功取得帳號存取權後,就能透過往來 Email 內容,竊取企業各種敏感資料;駭客更能用相同帳號密碼,取得受害者在其他服務帳號權限。
報告也指出,駭客取得 Office 365 帳號後,通常不會立即使用該帳號發動更多攻擊,而是會先藏匿一段時間,觀察該號的活動情形,取得需要的資料,以提高後續攻擊的成功率;駭客也會設定各種郵件規則,以隱匿自己的活動行蹤。
Barracuda 指出在被駭的四千個 Office 365 帳號中,有 34% 都被駭客新增了郵件規則。
資料來源:
