研究人员发现，微软的办公软件套件可能会被滥用来发起网络钓鱼攻击，即使是训练有素的网络用户也可能受到欺骗。Bitdefender的分析师最近发现，基于国际域名(IDN)的同形异义词攻击(那些滥用相似字符以达到欺骗目的的攻击-例如Micr0soft)变得更加有效，并且用于针对浏览器以外的应用程序。

在测试了一些应用程序在面对IDN同形异义词攻击时的行为后，研究人员发现所有MicrosoftOffice应用程序都存在漏洞。这包括所有生产力强国：Outlook、Word、Excel、OneNote和PowerPoint。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

用外行的话来说，威胁者可以强制Outlook显示一个看起来绝对合法的链接，而用户在浏览器中打开该网站之前无法分辨出其中的区别。在某些情况下，这足以触发恶意软件下载。

该公司于去年10月向微软报告了这个问题，虽然这家微软软件巨头确实承认威胁是真实的，但它尚未发布补丁。

Bitdefender声称，好消息是这种攻击并不容易发动，因此不太可能大规模使用。尽管如此，该漏洞利用仍可能是针对目标攻击的极其有效的武器，例如国家支持的威胁行为者针对特定的高价值公司获取密码(在新标签中打开)和其他敏感数据。

同形异义词攻击的问题在于它们滥用了网络的国际化。在互联网的早期，所有域名都使用拉丁字母，有26个字符。从那时起，互联网开始包含更多字符，例如西里尔字母(在东欧和俄罗斯使用)。这为威胁参与者提供了广阔的空间，因为通过组合不同的字符，他们可以创建URL看起来与合法站点相同的网络钓鱼站点。