電子郵件成為網(wǎng)絡(luò)釣魚(yú)攻擊主要媒介的日子早已一去不復(fù)返了?，F(xiàn)在，網(wǎng)絡(luò)釣魚(yú)攻擊發(fā)生在短信、語(yǔ)音、社交媒體和消息應(yīng)用程序上。它們還隱藏在 Azure 和 AWS 等值得信賴的服務(wù)背后。隨著云計(jì)算的擴(kuò)展，更多基于軟件即服務(wù) (SaaS) 的網(wǎng)絡(luò)釣魚(yú)方案成為可能。

網(wǎng)絡(luò)釣魚(yú)策略的發(fā)展速度比以往任何時(shí)候都快，攻擊的種類也在不斷增加。安全專業(yè)人員需要注意。

SaaS 到 SaaS 網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)犯罪分子不再?gòu)念^開(kāi)始構(gòu)建網(wǎng)絡(luò)釣魚(yú)頁(yè)面，而是越來(lái)越多地轉(zhuǎn)向已建立的 SaaS 平臺(tái)來(lái)執(zhí)行他們的惡意軟件計(jì)劃。通過(guò)利用合法域來(lái)托管網(wǎng)絡(luò)釣魚(yú)活動(dòng)，檢測(cè)引擎識(shí)別它們變得更具挑戰(zhàn)性。而且由于 SaaS 平臺(tái)需要最少的技術(shù)專業(yè)知識(shí)，因此新手黑客更容易發(fā)起攻擊。

合法 SaaS 平臺(tái)上托管的網(wǎng)絡(luò)釣魚(yú) URL 數(shù)量以驚人的速度增加。Palo Alto's Unit 42 的數(shù)據(jù)顯示，從 2021 年 6 月到 2022 年 6 月，新檢測(cè)到的托管在合法 SaaS 平臺(tái)上的網(wǎng)絡(luò)釣魚(yú) URL 的比率增加了 1100% 以上。

HackerNoon 網(wǎng)絡(luò)專家Zen Chan指出，網(wǎng)絡(luò)犯罪分子利用基于云的 SaaS 平臺(tái)發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊，而無(wú)需訪問(wèn)受害者的本地計(jì)算機(jī)或網(wǎng)絡(luò)。Chan 表示，基于 SaaS 的網(wǎng)絡(luò)釣魚(yú)使得反垃圾郵件網(wǎng)關(guān)、沙箱和 URL 過(guò)濾等傳統(tǒng)安全措施難以檢測(cè)和標(biāo)記這些惡意活動(dòng)。隨著基于云的辦公生產(chǎn)力和協(xié)作工具的使用越來(lái)越多，攻擊者現(xiàn)在可以輕松地在信譽(yù)良好的域上托管和共享惡意文檔、文件和惡意軟件。

當(dāng)我們考慮到惡意下載可能源自 Google Drive 或 DropBox 等平臺(tái)時(shí)，問(wèn)題的嚴(yán)重性就顯而易見(jiàn)了。在這些地方，惡意軟件很容易偽裝成圖片、發(fā)票圖像、PDF 或重要的工作文件。問(wèn)題在于，在云存儲(chǔ)中，文件是加密的，這使得安全工具能夠逃避。正如CheckPoint研究人員所解釋的那樣，惡意文件僅在受害者的計(jì)算機(jī)上解密。

網(wǎng)絡(luò)釣魚(yú)活動(dòng)中使用的 SaaS 平臺(tái)示例包括：

• 文件共享
• 表單生成器
• 網(wǎng)站建設(shè)者
• 筆記/協(xié)作工具
• 設(shè)計(jì)/原型制作/線框圖
• 個(gè)人品牌。

利用 Azure 進(jìn)行網(wǎng)絡(luò)釣魚(yú)

在最近的一份報(bào)告中，微軟的威脅分析師發(fā)現(xiàn)了另一種復(fù)雜的網(wǎng)絡(luò)釣魚(yú)計(jì)劃。該活動(dòng)利用受損的登錄信息在目標(biāo)網(wǎng)絡(luò)上注冊(cè)惡意設(shè)備。然后，滲透的設(shè)備被用來(lái)傳播網(wǎng)絡(luò)釣魚(yú)電子郵件。看來(lái)，攻擊主要針對(duì)缺乏MFA 安全性的賬戶而成功，這使得它們更容易被接管。

攻擊者采用了以 DocuSign 為主題的電子郵件策略，誘使收件人單擊鏈接來(lái)查看并簽署文檔，從而暴露他們的登錄信息。

攻擊者利用虛假 DocuSign 電子郵件中的嵌入鏈接將受害者引導(dǎo)至網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。這些模仿了 Office 365 登錄頁(yè)面，并配有預(yù)先填寫(xiě)的用戶名以增加可信度。

微軟的遙測(cè)數(shù)據(jù)顯示，最初的攻擊集中在澳大利亞、新加坡、印度尼西亞和泰國(guó)的公司。攻擊者似乎主要針對(duì)遠(yuǎn)程工作人員，以及保護(hù)不力的托管服務(wù)點(diǎn)和其他可能在嚴(yán)格安全協(xié)議之外運(yùn)行的基礎(chǔ)設(shè)施。

攻擊的下一階段

Microsoft 的安全團(tuán)隊(duì)能夠通過(guò)識(shí)別收件箱規(guī)則創(chuàng)建中的異常模式來(lái)檢測(cè)威脅。攻擊者在獲得收件箱控制權(quán)后立即添加了這些規(guī)則。顯然，攻擊者使用名為“垃圾郵件過(guò)濾器”的惡意郵箱規(guī)則破壞了多個(gè)組織的一百多個(gè)郵箱。這使得攻擊者能夠保持對(duì)受感染郵箱的控制，并將其用于網(wǎng)絡(luò)釣魚(yú)和其他惡意活動(dòng)。

使用被盜的憑據(jù)，入侵者能夠通過(guò)在自己的計(jì)算機(jī)上安裝 Outlook 并使用受損的憑據(jù)登錄來(lái)訪問(wèn)受害者的電子郵件帳戶。由于接受了 Outlook 的首次啟動(dòng)體驗(yàn)，攻擊者的設(shè)備從那里自動(dòng)連接到公司的 Azure Active Directory。微軟指出，Azure AD 中的 MFA 策略本可以阻止這種惡意注冊(cè)的發(fā)生。

一旦攻擊者的設(shè)備訪問(wèn)了受害者的網(wǎng)絡(luò)，入侵者就開(kāi)始了他們的活動(dòng)的第二階段。他們向目標(biāo)公司的員工以及承包商、供應(yīng)商或合作伙伴等外部目標(biāo)發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件。由于這些網(wǎng)絡(luò)釣魚(yú)消息源自受信任的工作空間，因此它們具有合法性，并且安全解決方案不太可能標(biāo)記它們。

利用亞馬遜網(wǎng)絡(luò)服務(wù)進(jìn)行網(wǎng)絡(luò)釣魚(yú)

據(jù)Avanan稱，網(wǎng)絡(luò)犯罪分子還使用 Amazon Web Services (AWS) 繞過(guò)自動(dòng)安全掃描儀并發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊。參與者利用 AWS 服務(wù)的能力，使用 WordPress 或自定義代碼創(chuàng)建和托管網(wǎng)頁(yè)。從那里，他們可以將帶有 AWS 名稱的網(wǎng)絡(luò)釣魚(yú)消息發(fā)送到企業(yè)電子郵件系統(tǒng)。這使得電子郵件能夠逃避通常會(huì)阻止此類消息的掃描儀，并增加了欺騙受害者的額外合法性。

最近突出的另一個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)利用 AWS 并在消息中采用不尋常的語(yǔ)法結(jié)構(gòu)來(lái)逃避掃描儀。依賴靜態(tài)允許或阻止列表來(lái)保護(hù)電子郵件內(nèi)容的電子郵件服務(wù)也不能免受這些攻擊。這些服務(wù)評(píng)估網(wǎng)站是否安全。但亞馬遜網(wǎng)絡(luò)服務(wù)太大且太普遍，無(wú)法阻止，因此掃描儀總是將其標(biāo)記為安全。

攻擊者利用知名品牌進(jìn)行網(wǎng)絡(luò)釣魚(yú)活動(dòng)的情況并不罕見(jiàn)。Avanan 報(bào)告稱，攻擊者使用 QuickBooks、PayPal 和 Google Docs 來(lái)增加郵件進(jìn)入收件箱的機(jī)會(huì)。

使用二維碼進(jìn)行網(wǎng)絡(luò)釣魚(yú)

最后但并非最不重要的一點(diǎn)是，Zen Chan 還揭示了另一種稱為 QRishing 的網(wǎng)絡(luò)釣魚(yú)攻擊。這些攻擊將惡意軟件鏈接嵌入電子郵件中的二維碼中。這使得大多數(shù)電子郵件安全解決方案很難檢測(cè)到它們。QRishing 還可能導(dǎo)致受害者連接到不安全的 WiFi 網(wǎng)絡(luò)，從而使攻擊者能夠捕獲敏感信息。

如今，人們使用二維碼訪問(wèn)菜單、辦理醫(yī)療服務(wù)登記以及訪問(wèn)公共或組織信息。但流氓二維碼也在增加。犯罪分子甚至可以在貼紙上打印惡意二維碼以覆蓋合法二維碼。

為了使事情變得更加復(fù)雜，攻擊者正在使用社會(huì)工程策略，將虛假的 QR 碼插入網(wǎng)絡(luò)釣魚(yú)短信（SMishing 加 QRishing）或社交媒體平臺(tái)中。掃描后，這些受感染的代碼會(huì)將受害者重定向到網(wǎng)絡(luò)釣魚(yú)站點(diǎn)，系統(tǒng)可能會(huì)提示他們輸入登錄憑據(jù)，然后攻擊者可能會(huì)竊取這些憑據(jù)。

網(wǎng)絡(luò)釣魚(yú)看不到盡頭

網(wǎng)絡(luò)釣魚(yú)攻擊的狂潮似乎不會(huì)很快停止。高度警惕至關(guān)重要。對(duì)于組織來(lái)說(shuō)，培訓(xùn)和再培訓(xùn)其團(tuán)隊(duì)以發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)嘗試是值得的。此外，先進(jìn)的安全解決方案（例如零信任）將變得更加普遍，因?yàn)樾枰獙?duì)用戶、設(shè)備、上下文和權(quán)限進(jìn)行驗(yàn)證來(lái)阻止入侵者。