云端安全业者Avanan在最近公布的《全球网钓邮件报告》中指出,有25%的网钓邮件能够躲过Office 365内建的Exchange Online Protection(EOP)安全机制,另有5.3%的网钓邮件是因管理员的配置错误,而送到用户的信箱。网钓攻击通常是藉由电子邮件接触用户,诱导使用者开启恶意档案或点击恶意链接,以于计算机上植入恶意软件或骗取使用者的凭证,是最近10年来最普遍的威胁。Avanan扫描了5,550万封寄至Office 365及G Suite的电子邮件,其中有5,238万封是寄至Office 365,有312万封寄至G Suite,在每99封电子邮件中就找到1封网钓邮件。在所有被Avanan侦测到的逾65万封网钓邮件中,有高达50.7%的网钓邮件含有恶意软件,有40.9%是为了窃取使用者凭证,另有8%为的是勒索,0.4%为鱼叉式网钓。
该公司特别分析了寄到Office 365的电子邮件,发现有25%的网钓邮件被EOP认定为安全邮件,还有5.3%的网钓邮件是因管理人员的配置错误,将它们列入白名单而寄到使用者信箱,意味着有30.3%的网钓邮件可成功抵达Office 365用户信箱。Avanan指出,黑客主要是透过隐匿手法绕过EOP邮件防护机制,例如将恶意网址拆分以让EOP无法识别,或者是以畸型的邮件形式及附加档案来混淆EOP,也会将恶意连结藏在看似无害的附加档案中。Avanan说,隐匿手法不管是对EOP或微软的进阶威胁防护(Advanced Threat Protection,ATP)都非常有效,但黑客却不常用,猜测是为了避免攻击手法曝光而受到围堵所采取的策略。