[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的

2021-09-08 来源： cnBeta 原文链接评论0条

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 1

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 2

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 3

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 4

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 5

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 6

通过相似字母欺骗用户，能够让用户相信这些邮件来自于真正的联系人。这个漏洞是由“Dobby1Kenobi”发现的。

我注册了一个看起来像我自己组织的电子邮件地址，并给自己发了一封测试邮件，以区分邮件中的哪些因素突出了可疑之处。

这意味着如果一个公司的域名是'somecompany[.]com'，一个注册了诸如'ѕ omecompany[.]com'（xn--omecompany-l2i[.]com）等国际域名的攻击者可以利用这个漏洞，向'somecompany.com'内使用Microsoft Outlook forWindows的员工发送有说服力的钓鱼邮件。

我的机构域名和钓鱼域名的不同之处在于，域名的开头有一个西里尔字母"s"。

微软表示：

我们已经审查了你的案例，不过在这个案例中们决定不会在当前版本中修复这个漏洞，并关闭这个案例。在这种情况下，虽然可能发生欺骗行为，但如果没有数字签名，发件人的身份是不可信的。所需的变化很可能会导致误报和其他方面的问题。

然而，看起来微软事实上已经提前修复了它。根据Manzotti的说法，Outlook 16.0.14228.20216版本不再有这个漏洞。我们建议用户将Outlook更新到最新版本，并谨防类似的钓鱼诈骗。

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 7

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的 - 8

访问:

微软中国官方商城 - 首页

转载声明：本文为转载发布，仅代表原作者或原平台态度，不代表我方观点。今日澳洲仅提供信息发布平台，文章或有适当删改。对转载有异议和删稿要求的原著方，可联络[email protected]。

今日评论网友评论仅供其表达个人看法，并不表明网站立场。

[图]Outlook被爆安全漏洞 让用户误信钓鱼邮件是真实的

[图]Outlook被爆安全漏洞让用户误信钓鱼邮件是真实的