微软警告：邮件路由配置错误可引发内部域名钓鱼攻击

威胁行为者正在利用路由场景和配置错误的欺骗防护来冒充组织域名，分发看似来自内部的钓鱼邮件。

微软威胁情报团队在周二的报告中表示："威胁行为者已经利用这一攻击载体传播各种与钓鱼即服务平台（如Tycoon 2FA）相关的钓鱼消息。这些消息包括语音邮件、共享文档、人力资源部门通信、密码重置或过期等主题的诱饵，最终导向凭据钓鱼。"

虽然这种攻击载体并非全新，但微软表示，自2025年5月以来，他们观察到这种策略的使用急剧增加，作为针对多个行业和领域广泛组织的机会主义攻击活动的一部分。其中包括一个使用伪造邮件对组织进行金融诈骗的攻击活动。

成功的攻击可能允许威胁行为者窃取凭据并将其用于后续活动，从数据盗窃到商业邮件入侵（BEC）。

该问题主要出现在租户配置了复杂路由场景且欺骗防护执行不严格的情况下。复杂路由的一个例子是将邮件交换器记录（MX记录）指向本地Exchange环境或第三方服务，然后再到达Microsoft 365。

这创造了一个安全漏洞，攻击者可以利用它发送看似来自租户自己域名的伪造钓鱼消息。绝大多数利用这种方法的钓鱼攻击活动都使用了Tycoon 2FA钓鱼即服务工具包。微软表示，在2025年10月，他们阻止了超过1300万封与该工具包相关的恶意邮件。

钓鱼即服务工具包是即插即用的平台，允许欺诈者轻松创建和管理钓鱼攻击活动，即使是技术技能有限的人也能使用。它们提供可定制的钓鱼模板、基础设施和其他工具，以促进凭据盗窃并通过中间人钓鱼攻击绕过多因素身份验证。

微软还发现了旨在诱骗组织支付虚假发票的邮件，可能导致经济损失。这些伪造消息还冒充DocuSign等合法服务，或声称来自人力资源部门关于薪资或福利变更的通知。

传播金融诈骗的钓鱼邮件通常看起来像是目标组织CEO、请求服务付款的个人或公司会计部门之间的对话。它们还包含三个附件文件以营造虚假的信任感：

一份要求汇款数千美元到银行账户的虚假发票

一份IRS W-9表格，列出用于设置银行账户的个人姓名和社会保障号码

一封据称由用于设置欺诈账户的在线银行员工提供的虚假银行信函

微软补充说："它们可能在邮件正文中使用可点击链接或在附件中使用二维码或其他方式让收件人导航到钓鱼登录页面。看似从内部邮件地址发送是最明显的特征，通常在'收件人'和'发件人'字段中使用相同的邮件地址。"

为了应对这种风险，建议组织设置严格的基于域名的消息身份验证、报告和一致性（DMARC）拒绝策略和发送者策略框架（SPF）硬失败策略，并正确配置第三方连接器，如垃圾邮件过滤服务或存档工具。

值得注意的是，MX记录直接指向Office 365的租户不容易受到这种攻击载体的影响。此外，建议在不必要时关闭直接发送功能，以拒绝冒充组织域名的邮件。

Q&A

Q1：什么是钓鱼即服务工具包？

A：钓鱼即服务工具包是即插即用的平台，允许欺诈者轻松创建和管理钓鱼攻击活动，即使是技术技能有限的人也能使用。它们提供可定制的钓鱼模板、基础设施和其他工具，以促进凭据盗窃并通过中间人钓鱼攻击绕过多因素身份验证。

Q2：哪些组织容易受到这种内部域名钓鱼攻击？

A：主要是配置了复杂路由场景且欺骗防护执行不严格的组织。比如将邮件交换器记录指向本地Exchange环境或第三方服务的组织。而MX记录直接指向Office 365的租户不容易受到这种攻击。

Q3：如何防护内部域名钓鱼攻击？

A：建议设置严格的DMARC拒绝策略和SPF硬失败策略，正确配置第三方连接器如垃圾邮件过滤服务。同时，在不必要时关闭直接发送功能，以拒绝冒充组织域名的邮件。