骇客发动钓鱼攻击骗取微软用户帐密，并利用看不到的字元混淆意图

为了能快速发动攻击，骇客也有可能会利用其他人的工具，拼凑后拿来运用。例如，微软揭露一起自2020年底开始网络钓鱼攻击，骇客使用名为TodayZoo的攻击套件，为了避免使用者察觉异状，他们使用了零点像素字体（Zero-point Font）的混淆手法，并透过假造的Microsoft 365登入网页，来骗取使用者帐密。

这起攻击行动微软从2021年3月发现并进行追踪，研判攻击者约从2020年12月开始行动，运用AWS的WorkMail网域（AwsApps[.]com），来发送钓鱼邮件，然后将受害者引导到假造的微软登入网页。微软也将这起事故通报了Amazon，对方也采取行动进行有关处置。

而攻击者在上述发出的钓鱼邮件的内容中，为了混淆邮件安全系统的侦测，采用了零点像素的字串，加入使用者看不到的内容，但这些文字很可能让邮件安全系统无法解析其攻击意图。所谓的零点像素字体，就是将文字的大小设置为0像素，使用者无法从电子邮件的内文看到这些内容，而不会发现异状。微软指出，攻击者在早期的行动中，会在邮件的内容里，每个几个字元就使用标签，加入这种使用零点像素大小的文字，内容疑似是寄件的日期。

左半部为钓鱼邮件的源代码，右半部则是邮件以HTML呈现的样貌。但在左边程式码的Body标签的内容里，可以看到有许多的“Monday, May 24, 2021”字串夹杂其中，而这些字串在收信软件以HTML呈现时不会出现。如果使用者没有刻意检视邮件的源代码，很难察觉这封信件的异状。

究竟攻击者使用了那些内容来引诱受害者上钩？微软表示，他们看到4月至5月之间，对方使用了密码重置的要求，而到了8月份，则有越来较多宣称是扫描与传真文件的接收通知。

一旦使用者信以为真点选钓鱼邮件的连结，他们就会被2度重新导向，最终连线到假的Microsoft 365登入网页，这个网页建置于位于主机代管业者DigitalOcean的主机上，而且与微软的网页极为相似。

比较特别的是，这个会窃取使用者微软账号资料的网页，在侧录到资料后，会直接储存在网站上，而非转传给其他的电子邮件。微软指出TodayZoo套件会有这样的特征，原因与过往旧版攻击套件锁定的目标有关：这原是针对Zoom视讯会议用户帐密而设。

针对此起事故所出现的攻击套件，微软指出，当中大部分的框架，疑似来自名为DanceVida的攻击套件，而冒充与混淆的元件，则与5个以上的套件有所关连──这些套件是Botssoft、FLCFFood、Office-RD117、WikiRed，以及Zenfo等。微软指出，攻击者从上述套件复制程式码的过程中，保留了原始的注记、已经失效的连结等来自其他攻击套件的特征。