Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的

利用Outlook的一个漏洞,攻击者能够让用户误信发送给他们的钓鱼邮件是真实的。Outlook中的地址簿能够显示来自国际化域名(IDNs)的联系信息,但不能确保这些信息是准确的。IDNs包括来自其他文字的字母,如西里尔字母,这些字母在外观上与拉丁字母相似。通过相似字母欺骗用户,能够让用户相

NetSmell 出品

  利用 Outlook 的一个漏洞,攻击者能够让用户误信发送给他们的钓鱼邮件是真实的。Outlook 中的地址簿能够显示来自国际化域名(IDNs)的联系信息,但不能确保这些信息是准确的。IDNs 包括来自其他文字的字母,如西里尔字母,这些字母在外观上与拉丁字母相似。

  通过相似字母欺骗用户,能够让用户相信这些邮件来自于真正的联系人。这个漏洞是由“Dobby1Kenobi”发现的。

我注册了一个看起来像我自己组织的电子邮件地址,并给自己发了一封测试邮件,以区分邮件中的哪些因素突出了可疑之处。

这意味着如果一个公司的域名是’somecompany[.]com’,一个注册了诸如’ѕ omecompany[.]com’(xn--omecompany-l2i[.]com)等国际域名的攻击者可以利用这个漏洞,向’somecompany.com’内使用 Microsoft Outlook for undefined 的员工发送有说服力的钓鱼邮件。

我的机构域名和钓鱼域名的不同之处在于,域名的开头有一个西里尔字母”s”。

  微软表示:

  我们已经审查了你的案例,不过在这个案例中们决定不会在当前版本中修复这个漏洞,并关闭这个案例。在这种情况下,虽然可能发生欺骗行为,但如果没有数字签名,发件人的身份是不可信的。所需的变化很可能会导致误报和其他方面的问题。

  然而,看起来微软事实上已经提前修复了它。根据 Manzotti 的说法,Outlook 16.0.14228.20216 版本不再有这个漏洞。我们建议用户将 Outlook 更新到最新版本,并谨防类似的钓鱼诈骗。

显示余下内容
相关文章:
  1. 师从比亚迪?特斯拉可旋转式中控大屏现身
  2. 苹果AI主管Samy Bengio确认将出席Nvidia年度GTC会议
  3. 微软:Windows 11将关闭商业和教育商店
  4. 得物的新烦恼:“炒鞋党”未平,“炒娃党”又起
  5. 乐视网被强制执行超3322万:总金额已超过20亿
  6. 作为“网红”,雷军和董明珠有何不同
  7. 芯片开发者46%年收入达30万元,7纳米制程以内开发者30%超50万元
  8. 苹果宣布在印度为向Apple ID充值的用户提供20%的奖金
  9. 海淀检察院对腾讯提起民事公益诉讼:微信侵犯未成年人权益| 腾讯:认真自检自查
  10. 攻守自如,斗鱼二季度营收、MAU量价齐升
 

发表评论

您的电子邮箱地址不会被公开。