网络安全专家发现了一种新的网络钓鱼活动，专门针对中小型企业 

该攻击方法涉及利用电子邮件服务提供商 访问客户端邮件列表，随后利用被盗的凭据发送令人信服的网络钓鱼电子邮件。这些电子邮件经过精心设计，看起来很真实，对毫无戒心的收件人构成重大威胁。

在他们的最新发现中，通过利用SendGrid的基础设施，攻击者可以通过利用接收者对来自熟悉来源的通信的信任来提高其网络钓鱼尝试的有效性。

欺诈性电子邮件伪装成来自 ESP 的合法信息，以增强安全性为幌子提示收件人启用双因素身份验证 （2FA）。但是，提供的链接会将用户重定向到模仿 SendGrid 登录页面的假冒网站，然后收集他们的凭据。

该活动的一个值得注意的方面是它能够绕过传统的安全措施。由于网络钓鱼电子邮件是通过合法服务路由的，并且没有明显的欺诈迹象，因此它们可能会逃避自动过滤器的检测，从而使它们特别阴险。

“当涉及到企业的声誉和安全时，使用可靠的电子邮件服务提供商非常重要，”

“然而，一些狡猾的骗子学会了如何模仿可靠的服务——因此，正确检查您收到的电子邮件至关重要，为了获得更好的保护，请安装可靠的网络安全解决方案。”

同时，安全专家强调，网络钓鱼者也经常利用被劫持的帐户。这是因为 ESP 通常会对新客户进行严格的检查，而已经发送过大量电子邮件的旧帐户通常被认为是值得信赖的。

为了降低成为网络钓鱼攻击受害者的风险，建议对员工实施基本的网络安全培训，利用具有反网络钓鱼功能的邮件服务器保护解决方案，并部署端点安全解决方案。

“冒充站点管理员或其他关键功能已被证明是整个行业网络钓鱼的有效手段，重视滥用其平台和服务。检测到不良行为者获取了客户帐户凭据，并使用我们的平台发起了网络钓鱼攻击;我们的欺诈、合规和网络安全团队立即关闭了与网络钓鱼活动相关的识别帐户。我们鼓励所有最终用户采取多管齐下的方法来打击网络钓鱼攻击，包括双因素身份验证、IP 访问管理和使用基于域的消息传递，