网络钓鱼攻击仍然是黑客钟爱的攻击方式之一，近期国外媒体又报道一起基于电子邮件的网络钓鱼攻击，位于德国、英国、荷兰，香港和新加坡等地的多家公司，至少156位高管的企业电子邮件帐户被入侵，涉及金融、房地产、法律等领域企业，其中包括20多个Office365的高管人员。

此次新型网络攻击活动被称为“PerSwaysion”，根据Group-IB威胁情报团队发布的分析报告，此次攻击是利用微软文件共享服务（包括Sway、SharePoint、 OneNote等）发起的针对性很强的网络钓鱼攻击。目前成功的PerSwaysion攻击都使用了基于Vue.js JavaScript框架的网络钓鱼套件而且采用成熟技术堆栈，比如：使用Google appspot来仿冒网络应用程序服务器，使用Cloudflare作为数据后端服务器。

“PerSwaysion”攻击以窃取Microsoft Office 365用户凭据为主要目的，首先发送一份欺诈性电子邮件诱骗受害者，邮件带有一个非恶意的PDF附件，该附件包含一个“立即阅读”链接，链接到Microsoft Sway托管的文件。下一步，Microsoft Sway服务上的特制演示页面还包含另一个“立即阅读”链接，该链接将用户重定向到实际的网络钓鱼站点，等待受害者输入其电子邮件帐户凭据或其他机密信息。研究人员称：“攻击者选择合法的基于云的内容共享服务，例如Microsoft Sway，Microsoft SharePoint和OneNote，以避免流量监测。”

一旦用户凭据被盗，攻击者会立即进行下一步，通过IMAP API从服务器下载受害者的电子邮件数据，然后冒充这些受害者的身份，锁定近期与受害者邮件通信并同样担任公司重要角色的人员进行下一步攻击。“他们会使用当前受害者的全名、电子邮件地址和法定公司名称来生成新的网络钓鱼PDF文件。”尽管没有明确的证据表明攻击者如何使用已泄露的公司数据，但研究人员认为攻击者可能会大量出售给其他金融诈骗者，以进行传统的金钱诈骗。

针对公司高管和重要职务人员的定向钓鱼邮件攻击，已经成为商业电子邮件欺诈 (BEC) 攻击的主要方向。企业电子邮件系统应加强建设电子邮件安全与信任机制，密信加密邮件客户端为企业电子邮件系统提供全程安全加密和可信身份展示，采用数字证书加密电子邮件，即使用户凭据泄露，没有证书私钥也无法解密邮件内容。