在大约半年的时间里，英国国家卫生系统 (NHS) 的 100 多名员工的工作电子邮件帐户被用于多次网络钓鱼活动，其中一些活动旨在窃取 Microsoft 登录信息。

攻击者在劫持合法的 NHS 电子邮件帐户后于去年 10 月开始使用它们，并至少在 2022 年 4 月之前继续将其用于网络钓鱼活动。

NHSV
据电子邮件安全 INKY 的研究人员称，已经从属于英格兰和苏格兰员工的 NHS 电子邮件帐户发送了 1000 多条网络钓鱼邮件。

研究人员跟踪了来自 NHS 的两个 IP 地址的欺诈性消息，这些 IP 地址来自 139 名 NHS 员工的电子邮件帐户。INKY 在其客户中检测到来自这两个地址的 1,157 封欺诈性电子邮件。

“NHS 确认这两个地址是邮件系统 [NHSMail] 中的中继，用于大量账户，”INKY 在今天的一份报告中说。

在大多数情况下，网络钓鱼邮件会发送虚假警报，提示新文档传递链接到要求 Microsoft 凭据的欺诈页面。

为了使电子邮件更加可信，攻击者在邮件底部添加了 NHS 保密免责声明。

来源：INKY
在 INKY 研究人员收集的其他样本中，网络钓鱼邮件通过添加公司徽标来冒充 Adob​​e 和 Microsoft 等品牌。

这些活动的范围似乎很广泛，除了试图窃取凭证之外，还有一些预付费用的情况，攻击者告知接受者有 200 万美元的巨额捐款。

当然，接收资金需要潜在受害者以个人详细信息（例如全名和地址、手机号码）的形式支付费用。
回复该消息时，有人使用了 Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。

来源：INKY
上图中的相同名称和消息已在 4 月初的诈骗中出现，该操作背后的个人拥有一个加密货币钱包地址，该地址收到了大约 4.5 个比特币，目前价值约 171,000 美元。

自从发现网络钓鱼活动以来，INKY 一直与 NHS 保持联系。这家英国机构在 4 月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。

然而，这一举措确实完全阻止了网络钓鱼，因为 INKY 客户继续收到欺诈信息，尽管数量要少得多。

这是由于 NHS 为该国数以万计依赖各种技术解决方案的组织（例如医院、诊所、供应商、医生办公室）提供了基础设施。

INKY 的安全战略副总裁 Roger Kay 强调说，这些活动不是入侵 NHS 电子邮件服务器的结果，“而是单独劫持了帐户”。