Microsoft 365的收信回條、休假自動回覆被駭客用來對企業用戶發動攻擊

收信回條或休假自動回覆是商務人士慣用的郵件功能，不過研究人員發現這些工具被駭客用來突破郵件過濾的安全防護，成為對企業用戶發動恐嚇信等郵件攻擊的新手法。

安全廠商Abnormal Security指出，去年聖誕節期間，正當許多企業員工休長假大量使用到收信回條及休假回覆時，有歹徒利用這兩個功能將詐騙郵件導向Microsoft365的用戶信箱。

研究人員說明，在使用收信回條的攻擊中，歹徒先準備好一封勒索郵件，再修改郵件標頭的「Disposition-Notification-To」，然後寄發郵件給目標人士。被修改的標頭驅動收信回條，使收信的受害者會收到包含原始勒索信件內文，而非發信的攻擊者。在這情況下，雖然郵件過濾工具可以自動擋下勒索信件，但由於回條不會被擋下，因此勒索信件就能成功進入受害者信箱內。

而在休假回覆（out of office notice）的攻擊情境中，歹徒同樣寄發勒索信件給目標人士，但是修改郵件標頭「Reply-To」。和前面的攻擊不同在於，當目標收信者開啟了休假回覆功能，這個被驅動的回覆通知會被導向另一名目標人士，而非攻擊者或原收信者。同樣的，原始勒索信件被郵件過濾工具擋下，但包含勒索信件的休假回覆通知仍進入另一名人士的信箱中。

所幸本波郵件攻擊只包含純文字，沒有任何連結，比較像是騷擾信，稍有資訊素養的收信者不管它就沒事了，但是卻展現郵件系統的合法流程也會被用作不正當用途，萬一攻擊者使用更精細的手法，例如加入釣魚網站連結或惡意檔案而剛好未被安全系統掃瞄到，企業用戶就可能因此受害。