引言

資安公司Proofpoint揭露了一項鎖定Microsoft 365使用者的新型網路釣魚攻擊手法。駭客利用一項名為「直接傳送」（Direct Send）的合法功能，成功繞過傳統的電子郵件安全防護，向組織內部員工發送看似來自公司內部的假冒電子郵件。這項攻擊的獨特之處在於，它並非透過外部釣魚郵件，而是利用內部信任機制，使攻擊更具欺騙性，對企業資安構成嚴重威脅。

風險

這項攻擊的核心風險在於其高度的隱蔽性。駭客濫用「直接傳送」功能，該功能原本設計用於印表機等裝置發送無密碼郵件，例如掃描文件或傳真。然而，駭客卻將此功能作為SMTP中繼站，透過未經妥善保護的第三方電子郵件安全設備來傳送惡意郵件。這些設備通常僅以過期或自簽憑證保護，且特定通訊埠（8008、8010、8015）暴露在外，成為駭客的入侵點。由於郵件是從組織內部發出，因此能輕易繞過許多電子郵件安全閘道，直接進入收件人的收件匣，甚至連Microsoft本身的偵測機制也可能將其歸類為垃圾郵件而非惡意郵件，使其難以被員工察覺。

影響

員工容易因為郵件來源看似可信而上當，點擊惡意連結或下載附加檔案，導致帳號被竊取、機密資料外洩或惡意軟體感染。其次，當這類內部發動的釣魚攻擊成功，將會對組織的信任度造成巨大打擊。員工對內部通訊的信任被破壞，導致未來難以辨識正常的內部郵件，增加內部溝通的摩擦成本。最後，企業的聲譽也會因此受損，不僅可能面臨法律與監管風險，客戶與合作夥伴對企業的資安保護能力也可能產生疑慮。

解決方案

1. 電子郵件系統審核與設定調整：停用不必要的「直接傳送」功能，登入Microsoft 365管理中心，進入「Exchange系統管理中心」>「郵件流程」>「連接器」。
2. 強化電子郵件身分驗證與帳戶保護：在Microsoft 365管理中心啟用MFA，進入「Azure Active Directory」>「安全性」>「條件式存取」。
3. 強制使用更嚴格的加密標準：在Exchange管理中心中，確保郵件伺服器與第三方設備之間的傳輸使用TLS加密。
4. 實施DMARC、SPF與DKIM：每年至少舉辦一次全面的資安培訓，並輔以定期的微學習（micro-learning）或釣魚模擬測試。
5. 建立明確的通報機制：確保員工知道如何與何時通報可疑郵件。
6. 導入先進資安防護工具：導入除了Microsoft 365內建防護之外的第三方郵件安全閘道（Email Security Gateway）。
7. 使用者行為分析（User and Entity Behavior Analytics, UEBA）：UEBA工具能建立使用者行為的基準線，當某個帳戶出現異常的郵件發送模式（例如在非工作時間發送大量郵件），系統會自動發出警報，有助於早期發現被盜用的帳戶。

結論

駭客已不再僅僅依賴傳統的外部攻擊，而是巧妙地濫用企業內部信任的合法功能。這對所有組織敲響了警鐘，提醒我們資安防護必須從多個層面進行，包括技術、流程和人員。企業應採取主動積極的態度，定期審核資安設定，強化驗證機制，並持續對員工進行教育訓練，才能有效抵禦不斷演變的資安威脅，確保企業營運的連續性與資料安全。

資料來源：https://hackread.com/hackers-microsoft-365-direct-send-internal-phishing-emails/