攻击者滥用 Microsoft 365 Direct Send 功能伪造内部邮件，精准钓鱼瞄准美企

攻击者正在滥用 Microsoft 365 的 Direct Send（直接发送）功能，伪造“内部邮件”对美国企业发起钓鱼攻击，利用虚假语音邮件通知与二维码，绕过安全过滤系统，精准窃取用户凭据。

Varonis 威胁实验室的安全研究人员披露了这一利用 Microsoft 365 较少被关注功能的新型钓鱼攻击活动。该攻击始于 2025 年 5 月，至今仍在活跃，已锁定超过 70 家机构，其中 95% 为美国企业。

研究人员在分享给 Hackread.com 的分析文章中指出，这一攻击的特别之处在于：攻击者无需入侵任何账户，即可伪造来自“内部用户”的邮件，大幅增加了绕过传统邮件安全系统的成功率。

滥用 Direct Send 功能

该攻击活动依赖于 Microsoft 365 的 Direct Send 功能。该功能原本是为打印机等设备设计，用于无需身份验证发送邮件。然而，攻击者正利用这一设计缺陷。

Varonis 威胁实验室的 Tom Barnea 指出：“该方式的关键在于——不需要登录或凭据。”攻击者只需掌握一些公开可得的信息，如企业域名、内部邮箱格式（通常容易猜测），就能构造邮件。

借助 Direct Send，攻击者可伪装成组织内部邮箱发送邮件，实则来源于外部。这类邮件往往被 Microsoft 自身或第三方安全产品误判为合法内部通信，从而顺利绕过检测。

Varonis 还发现，这类伪造邮件通常伪装成“语音留言提醒”，并附带一份 PDF，其中嵌有二维码。受害者扫码后将被引导至一个伪造的 Microsoft 365 登录页面，进而窃取其凭据。

检测与防御建议

针对这一新型钓鱼方式，企业需保持警觉。Varonis 建议，从以下几个方向加强检测与防御：

• 检查邮件头部是否出现异常，如 来自外部 IP 地址但发送给 Microsoft 365 Smart Host（如 tenantname.mail.protection.outlook.com）。

• 对内部域名执行 SPF、DKIM、DMARC 时是否验证失败。

• 行为线索识别：如用户给自己发送邮件、来源地异常但无登录行为等。

为提升防御能力，Varonis 建议采取如下措施：

• 在 Exchange 管理中心启用“拒绝 Direct Send”设置。

• 配置严格的 DMARC 策略。

• 加强员工培训，重点警示关于二维码附件的 Quishing（二维码钓鱼）攻击风险。

• 为所有用户启用 多因素认证（MFA）。

• 部署 条件访问策略，即使凭据被盗也能降低风险。

该事件再次警示我们：攻击者正在深挖云办公系统中的灰色功能边界，以更隐蔽方式达成钓鱼目的。企业安全防护需及时跟进最新攻击技巧与邮件攻击面变化，全面提升邮件安全策略和用户意识防线。