据观察，EvilProxy向100多个组织发送了120000封钓鱼电子邮件，以窃取微软365账户。Proofpoint注意到，在过去五个月里，云账户泄露激增，令人担忧。大多数袭击的目标是高级管理人员。这场运动的目标是全球100多个组织，共影响150万员工。
大约39%的受害者是C级高管，其中17%是首席财务官，9%是总裁和首席执行官。Proofpoint发布的帖子中写道：“黑客利用了EvilProxy，这是一种基于反向代理架构的网络钓鱼工具，黑客可以窃取受MFA保护的凭据和会话cookie。”这种日益严重的威胁将复杂的中间对手网络钓鱼与先进的账户接管方法相结合，以组织越来越多地采用多因素身份验证。
研究人员观察到，在拥有MFA保护的租户中，账户接管显著增加，在过去一年中，至少35%的受损用户启用了MFA。大规模的黑客依赖于品牌模仿、规避技术和多步骤感染链。
ReSecurity研究人员于2022年9月发现了EvilProxy，它与几位著名的地下行为者开发的网络钓鱼工具包有一定联系，他们以前曾针对金融机构和电子商务部门。
EvilProxy使用反向代理和Cookie注入方法绕过2FA身份验证——代理受害者的会话。此前，此类方法已在APT和网络间谍组织的有针对性的活动中出现，然而，现在这些方法已在EvilProxy中成功生产，这突出了针对在线服务和MFA授权机制的攻击增长的重要性。

该活动中使用的攻击链始于从伪造的电子邮件地址发送的网络钓鱼电子邮件。黑客模拟已知的可信服务，如Concur、DocuSign和Adobe。网络钓鱼邮件包含指向恶意Microsoft 365网络钓鱼网站的链接。点击嵌入链接后，收件人会通过YouTube或SlickDeals进行开放重定向，然后进行一系列重定向以避免被发现。
最终，用户流量会被引导到EvilProxy网络钓鱼框架。登录页起到反向代理的作用，模仿收件人品牌，并试图处理第三方身份提供商。如果需要，这些页面可能会请求MFA凭据，以便于代表受害者进行真实、成功的身份验证，从而验证收集到的凭据是否合法。

研究人员注意到，袭击的流量取决于受害者的地理位置。来自土耳其IP地址的用户流量被引导到合法网页，这种情况表明，这场运动背后的黑客总部似乎设在土耳其。
报告最后总结道：“黑客不断寻求新的方法来窃取用户的凭据并访问有价值的用户帐户。他们的方法和技术不断适应新的安全产品和方法，如多因素身份验证。即使是MFA也不是应对复杂威胁的灵丹妙药，可以通过各种形式的电子邮件绕过MFA攻击。”

部署邮件证书的好处

01保护企业品牌声誉
网络犯罪分子通常利用恶意脚本，链接或是其他恶意软件进行邮件网络钓鱼。他们可能使用授权员工发送的真实邮件并进行破坏修改，或是冒名顶替，然后发送给相关收件人，这样收件人以为邮件是由受信任的组织发送的。

当他们打开邮件，点击链接，下载附件，填写表格，或是共享机密信息时，他们就成为了受害者。如此以来，收件方将会很难再次信任该企业，然而作为发件方企业可能对损害企业声誉的行为还一无所知。

02保护敏感信息
大多数邮件中，尤其是企业邮件中包含了一些机密信息，这些敏感的信息内容有可能是商业机密，客户名单等。这些信息就像是虚拟金矿，如果黑客入侵您的邮件系统，他们很有可能会窃取这些敏感数据！

但是，使用了邮件签名证书加密功能，可以确保邮件在传输过程和存储于服务器中都得以安全保护，避免数据信息的泄露造成不必要的损失。

03遵循行业合规要求
符合多个行业加密标准，包括PCI DSS（支付卡行业数据安全标准）、GDPR（通用数据保护条例）、FDA等条例法规明文规定了须使用邮件签名证书加密发送敏感信息。

比如在药企中，如果要和FDA进行沟通，所有的发件人都需要使用S/MIME证书，又如银行，金融机构，汽车等要求发件人在发送邮件时进行签名。因此使用邮件签名证书也是为了符合行业的合规性，从而彰显企业的合法性和规范性。

内外兼防，筑安全堡垒。数据加密可以阻断黑客攻击，却不能防控人为扩散，这也是企业用户在日常邮件管理中， 最容易被忽视的一点。无论是企业还是个人都要加强自身防护能力，尤其是重要企业、涉密机构有必要借助第三方技术手段部署网络安全、数据安全整体防护策略，增强自主防御能力，避免因网络攻击造成的数据泄露。

转自：E安全 声明：本平台所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本平台赞同其观点和对其真实性负责，也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。