IT 之家 10 月 10 日消息，微软发文，透露自 2025 年 3 月以来，一个被追踪为 "Storm-2657" 的网络犯罪团伙在美国针对大学员工发起钓鱼邮件，试图盗取薪资。目前已知有三所大学共有 11 个账号被成功入侵，黑客利用相应账号向 25 所大学近 6000 个邮箱发送更多钓鱼邮件。

微软威胁情报部门发现，这些攻击主要瞄准 Workday 账号（IT 之家注：一个人力管理平台），黑客旨在调低用户 Workday 账号里的电子薪资单（Pay Stub），将多出来的差价钱悄悄转给指定账号，更有甚者直接操控账号将每月薪资全数转给指定账号。

微软强调，相应黑客利用精密的社会工程手段，专挑缺乏 MFA 多重认证的账号下手，针对不同用户 " 定制 " 不同钓鱼邮件，包含 " 校内出现传染性疾病 " 到 " 教师不当行为 " 等，或者伪造人力资源部门文件，分享薪酬和福利信息，诱使收件人点击钓鱼链接。

据介绍，在受害者点击钓鱼邮件的连接后，Storm-2657 即可窃取用户邮箱里的验证码，从而访问受害者的 Exchange Online 邮箱。在成功入侵后，黑客将设置收件箱规则删除 Workday 提醒邮件，以隐藏各类操作。

微软补充称，" 在入侵邮箱账户和修改 Workday 薪资设置后，黑客会继续利用新获取的账户继续向组织内部及其他大学发送钓鱼邮件。" 部分情况下，黑客还将自己的手机号注册为受害账户的多重认证设备，以建立持久的访问，从而可以在自身设备上批准进一步的恶意操作，逃避检测。