微软近日披露，自2025年3月起，名为“Storm-2657”的网络犯罪团伙在美国针对大学员工发起钓鱼邮件，试图盗取薪资。已知有三所大学共有11个账号被入侵，黑客利用这些账号向25所大学近6000个邮箱发送钓鱼邮件。攻击主要瞄准Workday账号，黑客通过调低电子薪资单，将差价转给指定账号，甚至直接操控账号将全数薪资转走。黑客利用精密的社会工程手段，专挑缺乏MFA认证的账号，发送定制钓鱼邮件，如伪造人力资源文件，诱使受害者点击链接。点击后，黑客窃取验证码访问邮箱，并设置规则删除提醒邮件以隐藏操作。黑客还会利用新账户继续发送钓鱼邮件，甚至注册手机号作为MFA设备，建立持久访问。

🔍 微软披露，名为“Storm-2657”的网络犯罪团伙自2025年3月起，在美国针对大学员工发起钓鱼邮件攻击，旨在盗取薪资。已知有三所大学共有11个账号被成功入侵，黑客利用这些账号向25所大学近6000个邮箱发送钓鱼邮件。

📧 攻击主要瞄准Workday账号（一个人力管理平台），黑客通过调低用户Workday账号里的电子薪资单，将多出来的差价钱悄悄转给指定账号，甚至直接操控账号将每月薪资全数转给指定账号。

🎯 黑客利用精密的社会工程手段，专挑缺乏MFA（多重认证）的账号下手，针对不同用户定制不同钓鱼邮件，如伪造人力资源部门文件，分享薪酬和福利信息，诱使收件人点击钓鱼链接。

🗑️ 在成功入侵邮箱账户和修改Workday薪资设置后，黑客会设置收件箱规则删除Workday提醒邮件，以隐藏各类操作。此外，黑客还会利用新获取的账户继续向组织内部及其他大学发送钓鱼邮件。

📱 部分情况下，黑客还将自己的手机号注册为受害账户的多重认证设备，以建立持久的访问权限，从而可以在自身设备上批准进一步的恶意操作，逃避检测。

IT之家 10 月 10 日消息，微软发文，透露自 2025 年 3 月以来，一个被追踪为“Storm-2657”的网络犯罪团伙在美国针对大学员工发起钓鱼邮件，试图盗取薪资。目前已知有三所大学共有 11 个账号被成功入侵，黑客利用相应账号向 25 所大学近 6000 个邮箱发送更多钓鱼邮件。

微软威胁情报部门发现，这些攻击主要瞄准 Workday 账号（IT之家注：一个人力管理平台），黑客旨在调低用户 Workday 账号里的电子薪资单（Pay Stub），将多出来的差价钱悄悄转给指定账号，更有甚者直接操控账号将每月薪资全数转给指定账号。

微软强调，相应黑客利用精密的社会工程手段，专挑缺乏 MFA 多重认证的账号下手，针对不同用户“定制”不同钓鱼邮件，包含“校内出现传染性疾病”到“教师不当行为”等，或者伪造人力资源部门文件，分享薪酬和福利信息，诱使收件人点击钓鱼链接。

据介绍，在受害者点击钓鱼邮件的连接后，Storm-2657 即可窃取用户邮箱里的验证码，从而访问受害者的 Exchange Online 邮箱。在成功入侵后，黑客将设置收件箱规则删除 Workday 提醒邮件，以隐藏各类操作。

微软补充称，“在入侵邮箱账户和修改 Workday 薪资设置后，黑客会继续利用新获取的账户继续向组织内部及其他大学发送钓鱼邮件。”部分情况下，黑客还将自己的手机号注册为受害账户的多重认证设备，以建立持久的访问，从而可以在自身设备上批准进一步的恶意操作，逃避检测。