文章总结： 微软警告美国企业正面临复杂网络钓鱼攻击，攻击者伪装成内部合规邮件诱骗用户点击恶意链接，利用Cloudflare验证机制规避检测后实施中间人攻击，可绕过多因素认证直接窃取身份令牌。主要针对医疗、金融、科技等行业，92%目标位于美国。建议企业加强员工安全意识培训并采用防钓鱼技术措施。 综合评分： 82 文章分类： 威胁情报,网络钓鱼,社会工程学,安全意识,应急响应

微软警告：针对美国企业的复杂网络钓鱼活动正在发生

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月6日 12:05 北京

在小说阅读器读本章

去阅读

微软已向美国各组织发出警告，提醒他们注意一种复杂的网络钓鱼活动，该活动利用“行为准则审查”的主题将受害者引诱到恶意网站。

这家科技巨头在 4 月 14 日至 16 日期间观察到超过 35,000 次攻击尝试。来自 26 个国家/地区约 13,000 个组织的用户收到了这些恶意电子邮件，但 92% 的目标位于美国。

许多信息都来自医疗保健和生命科学、金融服务、专业服务以及技术和软件行业的用户。

这些钓鱼邮件伪装成内部监管或合规信息，显示名称如“团队行为报告”、“员工沟通”和“内部监管合规”，主题行如“提醒：雇主已开启违规案例记录”和“根据行为准则发布的内部案例记录”。

微软解释说：“对发送基础设施的分析表明，这些攻击邮件是通过合法的电子邮件发送服务发送的，很可能源自云端托管的Windows虚拟机。邮件是从多个发件人地址发送的，使用的域名很可能被攻击者控制。”

收件人需打开个性化附件以查看案件资料。这些附件是名为“意识案例日志文件”或“纪律处分”的PDF文档，引导用户点击文档内的“查看案件资料”链接。

用户点击链接后，会被引导至 Cloudflare CAPTCHA 验证页面，微软认为该验证机制可以防止自动分析。之后，用户会被引导至一个页面，提示需要审核并签署相关文件。

受害者随后会被引导至一个页面，要求其输入电子邮件地址，之后会进入第二个验证码页面。最后，用户会被告知验证已成功完成，并被要求登录其微软帐户。

攻击的最后一步涉及中间人（AitM）网络钓鱼，攻击者通过代理会话来捕获身份验证令牌，并立即获得对目标帐户的访问权限。

微软指出：“与传统的凭证窃取不同，AiTM 攻击会实时拦截身份验证流量，绕过无法抵御网络钓鱼的多因素身份验证 (MFA)。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软警告：针对美国企业的复杂网络钓鱼活动正在发生》