據調查，在近半年的時間里，英國國家衛生系統(NHS)的100多名員工的工作電子郵件帳戶被多次用于網絡釣魚活動，其中一些活動旨在竊取Microsoft登錄信息。在劫持合法的NHS電子郵件帳戶后，這些攻擊者于去年10月開始使用它們，并至少在今年4月之前將其繼續用于網絡釣魚活動。據電子郵件安全INKY的研究人員稱，已經從英格蘭和蘇格蘭員工的NHS電子郵件帳戶發送出1000多條網絡釣魚郵件。

研究人員跟蹤了來自NHS的兩個IP地址的欺詐性消息，這些IP地址來自139名NHS員工的電子郵件帳戶。INKY在其客戶中檢測到來自這兩個地址的1,157封欺詐性電子郵件。隨后NHS也確認這兩個地址是用于管理大量賬戶的郵件系統。

在大多數情況下，網絡釣魚郵件帶有虛假鏈接，根據郵件提示需要點擊鏈接才能執行下一步操作，而虛假鏈接則會跳轉到要求填寫Microsoft憑據的釣魚網站上面。為了使電子郵件更加可信，攻擊者在郵件底部添加了NHS保密免責聲明。

在INKY研究人員收集的其他樣本中，網絡釣魚郵件通過添加公司徽標來冒充Adobe和Microsoft等品牌。并且釣魚活動的范圍很廣泛，除了試圖竊取憑證之外，還有一些預付費用的情況，比如攻擊者告知接受者有200萬美元的巨額捐款。當然，接收資金需要潛在受害者以個人詳細信息(例如全名和地址、手機號碼)的形式支付費用。

甚至還有人使用了Shyann Huels 的名字并假裝自己是“杰夫·貝索斯先生的國際事務特別秘書”。

上圖中的相同名稱和消息已在4月初的詐騙中出現，該操作背后的個人擁有一個加密貨幣錢包地址，該地址收到了大約4.5個比特幣，目前價值約 171,000 美元。

自從發現網絡釣魚活動以來，INKY一直與NHS保持聯系。這家英國機構在4月中旬之后通過從本地 Microsoft Exchange 部署切換到云服務來解決風險。這一舉措確實起到了不錯的效果，雖然INKY客戶繼續收到欺詐信息，但數量要少得多。這是由于NHS為該國數以萬計依賴各種技術解決方案的組織(例如醫院、診所、供應商、醫生辦公室)提供了基礎設施。INKY的安全戰略副總裁Roger Kay強調說，這些活動不是入侵 NHS電子郵件服務器的結果，而是單獨劫持了帳戶。

參考來源：https://www.bleepingcomputer.com/news/security/attackers-hijack-uk-nhs-email-accounts-to-steal-microsoft-logins/