利用 Outlook 的一個漏洞，攻擊者能夠讓使用者誤信發送給他們的釣魚郵件是真實的。 Outlook 中的通訊錄能夠顯示來自國際化功能變數名稱（IDNs）的聯繫資訊，但不能確保這些資訊是準確的。 IDNs 包括來自其他文字的字母，如西里爾字母，這些字母在外觀上與拉丁字母相似。

通過相似字母欺騙使用者，能夠讓使用者相信這些郵件來自於真正的聯繫人。 這個漏洞是由”Dobby1Kenobi”發現的。

我註冊了一個看起來像我自己組織的電子郵件位址，並給自己發了一封測試郵件，以區分郵件中的哪些因素突出了可疑之處。

這意味著如果一個公司的功能變數名稱是’somecompany[.] com’，一個註冊了諸如’ѕ omecompany[.] com’（xn--omecompany-l2i[.] com）等國際功能變數名稱的攻擊者可以利用這個漏洞，向『somecompany.com』內使用Microsoft Outlook for Windows的員工發送有說服力的釣魚郵件。

我的機構功能變數名稱和釣魚功能變數名稱的不同之處在於，功能變數名稱的開頭有一個西里爾字母”s”。

微軟表示：

我們已經審查了你的案例，不過在這個案例中們決定不會在當前版本中修復這個漏洞，並關閉這個案例。 在這種情況下，雖然可能發生欺騙行為，但如果沒有數位簽名，寄件者的身份是不可信的。 所需的變化很可能會導致誤報和其他方面的問題。

然而，看起來微軟事實上已經提前修復了它。 根據Manzotti的說法，Outlook 16.0.14228.20216版本不再有這個漏洞。 我們建議使用者將Outlook更新到最新版本，並謹防類似的釣魚詐騙。