近年来，网络安全已成为全球范围内的重要议题，随着数字化转型的加速，企业越来越依赖于云服务和电子邮件作为主要的沟通方式。然而，这种依赖也使得一些新型的网络攻击方式得以频繁出现，尤其是对 Microsoft 365 等云服务的针对性攻击。特别是最近的研究显示，黑客们利用微软 365 的 Direct Send 特性发动了一场针对超过 70 家企业的钓鱼攻击，这一攻击手法的高危特性引发了安全专家的广泛关注。

Direct Send 是 Microsoft Exchange Online 中的一个功能，主要用于允许设备和应用程序在同一 Microsoft 365 租户内发送电子邮件。这一功能的设计初衷是为了简化内部通信，但其缺乏必要的身份验证机制，使其成为了黑客的攻击目标。研究表明，黑客们可以利用这一功能发送看似来自合法内部用户的钓鱼邮件，无需实际获取被袭击账户的凭证或访问权限。

攻击者利用 PowerShell 命令，通过 Direct Send 特性，以假冒的内部地址发送钓鱼邮件。这些邮件通常伪装成内部通知，例如语音邮件提示，以及包括 PDF 附件的形式，而这些附件可能含有指向钓鱼网站的二维码，借此盗取 Microsoft 365 凭证。这种攻击方式不仅能够欺骗用户，还能够轻易绕过传统邮件过滤机制，因为邮件在 Microsoft 的基础架构内流转，安全防护系统往往将此类邮件视为内部流量，从而未能识别出其中的异常。

网络安全公司 Varonis 的研究指出，自 2025 年 5 月以来，黑客们已经开始利用这种攻击方式，对多个行业的组织进行钓鱼攻击。对于受害者来说，这一攻击方式的隐蔽性极强，因其源自看似安全的内部通信，使得许多企业在未能及时发现异常行为的情况下遭受损失。

例如，Varonis 的法证团队在其分析中指出，某些组织收到的警报显示异常活动，与符合地理位置不符的登录尝试相结合，但在此事件中，黑客仅通过电子邮件活动而未进行任何登录。此类行为不但使得监测和响应更加困难，也让企业在处理内部邮件的安全性时面临新的挑战。

为了应对这一新兴威胁，Varonis 提出了几项建议。首先，企业应在 Exchange Admin Center 中启用 “拒绝直接发送” 功能，并实施严格的 DMARC 策略，例如使用 p=reject。另外，应对未经身份验证的内部邮件进行标记，以便审查或隔离。此外，企业应在 Exchange Online Protection 中强制执行 SPF hardfail 策略，并结合使用防伪和多重身份验证（MFA）政策，以防止用户凭证被窃取。

研究还强调了用户教育的重要性。通过提高员工对钓鱼邮件的认知，企业可以有效降低钓鱼攻击成功的概率。同时，企业应尽量在 SPF 记录中强制使用静态 IP 地址，以防止滥用问题的发生。Varonis 的专家表示：“Direct Send 是一个功能强大的工具，但在错误的手中，它则变成了一个危险的攻击向量。如果您还未积极监控假冒内部邮件或尚未启用相关保护，现在是采取行动的时机。不要假定内部邮件就一定是安全的。”

这一系列事件和应对策略无疑强调了在企业数字化转型过程中，网络安全必须得到充分重视。随着技术的进步，黑客攻击 的手法也在不断演变，因此企业需要及时更新安全措施，确保内部安全和数据保护。同时，确保员工能够识别钓鱼邮件 和了解其潜在风险，真正在根本上提高组织的安全防护能力。

在这个快速变化的数字环境中，企业若希望抵御日益复杂的网络威胁，必须提升安全意识、采用更具前瞻性的安全策略，并结合技术手段加以应对。只有这样，企业才能在不断变化的网络安全态势中保持竞争力，并确保自身和客户的数据安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课