利用 Outlook 的一个系统漏洞,网络攻击可以让用户轻信发给她们的钓鱼邮件是真正的。Outlook 中的详细地址簿可以表明来源于全球化网站域名(IDNs)的联络信息,但无法保证这种信息是精确的。IDNs 包含来源于别的文本的字母,如西里尔字母,这种字母在外观设计上与拉丁舞字母类似。
根据类似字母蒙骗用户,可以让用户坚信这种电子邮件来自于真真正正的手机联系人。这一系统漏洞是由“Dobby1Kenobi”发觉的。
- 我申请注册了一个看上去像自己机构的电子邮箱地址,并为自己发过一封检测电子邮件,以区别电子邮件中的哪些方面突显了异常之处。
- 这代表假如一个企业的域名是'somecompany[.]com',一个申请注册了例如'ѕ omecompany[.]com'(xn--omecompany-l2i[.]com)等com域名的网络攻击可以利用这一系统漏洞,向'somecompany.com'内应用Microsoft Outlook for Windows的职工推送有感染力的钓鱼邮件。
- 我的组织网站域名和垂钓网站域名的不同点取决于,网站域名的开始有一个西里尔字母"s"。
微软公司表明:
大家早已核查了你的实例,但是在这个实例中们决策不容易在当下游戏版本中修补这一系统漏洞,并关掉这一实例。在这样的情况下,尽管很有可能产生蒙骗个人行为,但要是没有数字签名,发件人的身分是不能信的。需要的转变很可能会造成乱报和其它层面的问题。
殊不知,看上去微软公司实际上早已提早修补了它。依据Manzotti的观点,Outlook 16.0.14228.20216版本号不会再有这种系统漏洞。大家提议用户将Outlook升级到最新版,并严防相近的垂钓行骗。