據(jù)調(diào)查，在近半年的時間里，英國國家衛(wèi)生系統(tǒng)(NHS)的100多名員工的工作電子郵件帳戶被多次用于網(wǎng)絡(luò)釣魚活動，其中一些活動旨在竊取Microsoft登錄信息。在劫持合法的NHS電子郵件帳戶后，這些攻擊者于去年10月開始使用它們，并至少在今年4月之前將其繼續(xù)用于網(wǎng)絡(luò)釣魚活動。據(jù)電子郵件安全I(xiàn)NKY的研究人員稱，已經(jīng)從英格蘭和蘇格蘭員工的NHS電子郵件帳戶發(fā)送出1000多條網(wǎng)絡(luò)釣魚郵件。

研究人員跟蹤了來自NHS的兩個IP地址的欺詐性消息，這些IP地址來自139名NHS員工的電子郵件帳戶。INKY在其客戶中檢測到來自這兩個地址的1,157封欺詐性電子郵件。隨后NHS也確認(rèn)這兩個地址是用于管理大量賬戶的郵件系統(tǒng)。

在大多數(shù)情況下，網(wǎng)絡(luò)釣魚郵件帶有虛假鏈接，根據(jù)郵件提示需要點(diǎn)擊鏈接才能執(zhí)行下一步操作，而虛假鏈接則會跳轉(zhuǎn)到要求填寫Microsoft憑據(jù)的釣魚網(wǎng)站上面。為了使電子郵件更加可信，攻擊者在郵件底部添加了NHS保密免責(zé)聲明。

在INKY研究人員收集的其他樣本中，網(wǎng)絡(luò)釣魚郵件通過添加公司徽標(biāo)來冒充Adobe和Microsoft等品牌。并且釣魚活動的范圍很廣泛，除了試圖竊取憑證之外，還有一些預(yù)付費(fèi)用的情況，比如攻擊者告知接受者有200萬美元的巨額捐款。當(dāng)然，接收資金需要潛在受害者以個人詳細(xì)信息(例如全名和地址、手機(jī)號碼)的形式支付費(fèi)用。

甚至還有人使用了Shyann Huels 的名字并假裝自己是“杰夫·貝索斯先生的國際事務(wù)特別秘書”。

上圖中的相同名稱和消息已在4月初的詐騙中出現(xiàn)，該操作背后的個人擁有一個加密貨幣錢包地址，該地址收到了大約4.5個比特幣，目前價值約 171,000 美元。

自從發(fā)現(xiàn)網(wǎng)絡(luò)釣魚活動以來，INKY一直與NHS保持聯(lián)系。這家英國機(jī)構(gòu)在4月中旬之后通過從本地 Microsoft Exchange 部署切換到云服務(wù)來解決風(fēng)險。這一舉措確實起到了不錯的效果，雖然INKY客戶繼續(xù)收到欺詐信息，但數(shù)量要少得多。這是由于NHS為該國數(shù)以萬計依賴各種技術(shù)解決方案的組織(例如醫(yī)院、診所、供應(yīng)商、醫(yī)生辦公室)提供了基礎(chǔ)設(shè)施。INKY的安全戰(zhàn)略副總裁Roger Kay強(qiáng)調(diào)說，這些活動不是入侵 NHS電子郵件服務(wù)器的結(jié)果，而是單獨(dú)劫持了帳戶。

參考來源：https://www.bleepingcomputer.com/news/security/attackers-hijack-uk-nhs-email-accounts-to-steal-microsoft-logins/