微软最新安全报告揭露，一个代号"Storm-2657"的黑客组织自2025年3月起在美国高校系统展开了一场精心策划的薪资诈骗行动。该团伙通过钓鱼邮件成功攻破三所大学的11个教职工账户，并以此为跳板向25所院校的近6000个邮箱发送恶意邮件。

据微软威胁情报团队调查，黑客主要针对高校常用的Workday人力资源管理系统发起攻击。他们通过操控教职工账户，采用两种违法手段：一是悄悄修改电子工资单金额，将差额转入指定账户；二是更猖狂地将教职工整月工资直接转账。

微软特别指出，该黑客组织精通社会工程学技巧，专门挑选未启用多重身份验证(MFA)的账户下手。其钓鱼邮件极具欺骗性，内容从捏造"校园突发传染病"通知到伪造"教师行为不当"调查，甚至模仿人力资源部发送薪酬福利文件，诱导教职工点击恶意链接。

成功诱骗受害者点击链接后，Storm-2657便能窃取电子邮箱验证码，进而完全控制Exchange Online邮箱。黑客还会设置收件箱规则自动删除Workday系统提醒邮件，以此掩盖其非法转账行为。

报告进一步披露，这些黑客得手后会变本加厉：一方面利用已控制账户在高校系统内部扩散钓鱼邮件；另一方面将自己的手机号绑定受害者账户作为MFA设备，建立长期访问权限，以便后续审批更多非法操作而不被发现。