SurveyMonkey用于隐藏针对Microsoft Office 365用户的网络钓鱼攻击。

在线轮询服务SurveyMonkey被用作针对Microsoft Office 365用户的潜在破坏性网络钓鱼攻击的伪装。

异常安全性的研究人员最近发现了使用SurveyMonkey作为掩盖来窃取Office 365用户凭据的尝试。

在竞选活动中，受害人从真实的SurveyMonkey网站收到一封电子邮件，表明它正在对公司员工进行调查。但是，该消息包含一个隐藏的重定向链接，显示为文本“导航访问声明”，并带有简短消息“请不要转发此电子邮件，因为它的调查链接对您来说是唯一的”。

SurveyMonkey网络钓鱼

但是，当单击时，此链接将受害者从SurveyMonkey重定向到Microsoft表单提交页面，该页面告诉用户提交其Office 365电子邮件和密码以继续。但是，这样做会使犯罪分子窃取毫无戒心的用户的Microsoft帐户安全凭据。

异常安全性指出，由于使用了真实的SurveyMonkey链接来隐藏其中的邪恶目标，此攻击可能特别有效。带有网上诱骗链接的电子邮件还使用官方的SurveyMonkey短语和内容，诱使用户相信该邮件是真实的。

由于网上诱骗网址在正文中不可见，因此受害者也很容易被欺骗，乍一看就不会被欺骗。

OneLogin信任与安全高级总监Niamh Muldoon指出：“网络钓鱼是最成功和长期存在的网络犯罪策略之一，这些攻击中所采用的方法不断发展，有助于理解原因。

“随着网络钓鱼攻击变得越来越普遍和复杂（通常是针对组织的目标团队而定制的），公司和消费者不能依靠防御100％的攻击。在出现以下情况时，应用多因素身份验证（MFA）可支持用户的意识和有意识的行为涉及网络钓鱼威胁和点击可疑链接的相关风险。”