Microsoft Outlook 用戶被警告在打開來自不明來源的電子郵件時需格外小心,因為一份報告顯示其反釣魚工具容易受到利用。
Certitude 研究人員 William Moody 和 Wolfgang Ettlinger 的報告指出,Microsoft 365 的反釣魚措施可以輕易被利用和繞過,可能使犯罪分子有機會向受害者發送惡意電子郵件。該團隊表示已將其發現報告給 Microsoft,但該公司尚未做出任何回應,這意味著 Outlook 用戶可能面臨風險。
反釣魚缺陷 Certitude 團隊闡述了缺陷主要出現在 Outlook 的「首次聯系安全提示」功能,這是一種當用戶收到來自不明地址的電子郵件時出現的彈出警報,內容為「您不常收到來自 [email protected] 的電子郵件。了解這為何重要」。該警報附加在電子郵件的主體上,但 Certitude 警告稱這意味著可以利用嵌入在郵件主體中的層疊樣式表(CSS)進行操控。
該團隊發現某些 HTML 規則能夠隱藏錨標籤,從而阻止警報顯示在包含鏈接的情況下,同時將字體顏色改為白色和字體大小設為零,從而隱藏該警報。第三條規則使得表格 tbody 內的任何 td 元素都具有白色背景和白色文本,從而使內容與背景融合,表現得如同不可見。
因此,施加所有這些 CSS 規則可能意味著發送的釣魚電子郵件不會有警報提示受害者。在另一個方面,Certitude 還發現,增加更多 HTML 代碼以假冒 Microsoft Outlook 在加密或簽名電子郵件上使用的官方圖標,可以使釣魚信息看起來更加安全。該團隊表示已就其發現聯系 Microsoft,並收到以下聲明:「我們判定您的發現是有效的,但考慮到這主要適用於釣魚攻擊,所以不符合我們立即服務的標準。不過,我們仍將您的發現標記為未來審查的機會,以改進我們的產品。」