近期，一個大規模的網絡釣魚活動利用Microsoft Sway這一云基礎的在線演示工具來搭建登陸頁面，目的是為了誘使Microsoft 365用戶泄露他們的登錄憑證。

2024年7月，Netskope的安全威脅實驗室發現，通過Microsoft Sway托管的釣魚網頁數量激增，與今年上半年相比，增長了驚人的2000倍。這種急劇上升的趨勢與此前的低活動水平形成了鮮明對比，更加凸顯了這次攻擊活動的規模。

該活動主要針對亞洲和北美地區的用戶，特別是技術、制造和金融行業，這些行業成為攻擊者的主要目標。

攻擊者通過電子郵件將潛在的受害者引導至由sway.cloud.microsoft域名托管的釣魚登陸頁面。這些頁面誘導目標用戶掃描QR碼，進而將他們重定向到其他惡意網站。

攻擊者傾向于鼓勵用戶使用移動設備掃描這些二維碼，因為移動設備的安全防護通常較弱，這增加了他們繞過安全措施、無障礙訪問釣魚網站的可能性。

安全研究人員指出：由于URL被嵌入到圖片中，那些只能掃描文本內容的電子郵件掃描器將無法識別。此外，當用戶收到二維碼時，他們可能會選擇使用手機等移動設備進行掃描。

“移動設備，尤其是個人手機，其實施的安全措施通常沒有筆記本電腦和臺式機那么嚴格，這使得用戶更容易成為攻擊的目標。”研究人員進一步解釋道。

微軟 Sway 網絡釣魚頁面示例（來源：Netskope）

攻擊者采取了多種手段來提高其釣魚活動的成功率，例如通過透明釣魚手段，他們盜取了用戶的憑證和多因素認證碼，并在向用戶展示合法登錄頁面的同時，使用這些信息登錄用戶的Microsoft賬戶。

他們還使用了Cloudflare Turnstile這一旨在防止機器人訪問的工具，來隱藏其釣魚登陸頁面的內容，避免靜態掃描器的檢測。這有助于保持釣魚域名的良好信譽，并防止被諸如Google Safe Browsing之類的網絡過濾服務所屏蔽。

Microsoft Sway在五年前的PerSwaysion釣魚活動中也遭到了濫用，該活動通過一個在惡意軟件即服務（MaaS）業務中提供的釣魚套件，針對Office 365的登錄憑證。

Group-IB的安全研究人員當時揭露，這些攻擊至少欺騙了156位在中小型金融服務公司、律師事務所和房地產集團中擔任高級職位的人員。

Group-IB表示，在所有被“收割” 的Office 365賬戶中，有超過20%是來自美國、加拿大、德國、英國、荷蘭、中國香港和新加坡等國家或地區的組織中的高級執行官、總裁和常務董事。