电子邮件成为网络钓鱼攻击主要媒介的日子早已一去不复返了。现在,网络钓鱼攻击发生在短信、语音、社交媒体和消息应用程序上。它们还隐藏在 Azure 和 AWS 等值得信赖的服务背后。随着云计算的扩展,更多基于软件即服务 (SaaS) 的网络钓鱼方案成为可能。
网络钓鱼策略的发展速度比以往任何时候都快,攻击的种类也在不断增加。安全专业人员需要注意。
SaaS 到 SaaS 网络钓鱼
网络犯罪分子不再从头开始构建网络钓鱼页面,而是越来越多地转向已建立的 SaaS 平台来执行他们的恶意软件计划。通过利用合法域来托管网络钓鱼活动,检测引擎识别它们变得更具挑战性。而且由于 SaaS 平台需要最少的技术专业知识,因此新手黑客更容易发起攻击。
合法 SaaS 平台上托管的网络钓鱼 URL 数量以惊人的速度增加。Palo Alto's Unit 42 的数据显示,从 2021 年 6 月到 2022 年 6 月,新检测到的托管在合法 SaaS 平台上的网络钓鱼 URL 的比率增加了 1100% 以上。
HackerNoon 网络专家Zen Chan指出,网络犯罪分子利用基于云的 SaaS 平台发起网络钓鱼攻击,而无需访问受害者的本地计算机或网络。Chan 表示,基于 SaaS 的网络钓鱼使得反垃圾邮件网关、沙箱和 URL 过滤等传统安全措施难以检测和标记这些恶意活动。随着基于云的办公生产力和协作工具的使用越来越多,攻击者现在可以轻松地在信誉良好的域上托管和共享恶意文档、文件和恶意软件。
当我们考虑到恶意下载可能源自 Google Drive 或 DropBox 等平台时,问题的严重性就显而易见了。在这些地方,恶意软件很容易伪装成图片、发票图像、PDF 或重要的工作文件。问题在于,在云存储中,文件是加密的,这使得安全工具能够逃避。正如CheckPoint研究人员所解释的那样,恶意文件仅在受害者的计算机上解密。
网络钓鱼活动中使用的 SaaS 平台示例包括:
- 文件共享
- 表单生成器
- 网站建设者
- 笔记/协作工具
- 设计/原型制作/线框图
- 个人品牌。
利用 Azure 进行网络钓鱼
在最近的一份报告中,微软的威胁分析师发现了另一种复杂的网络钓鱼计划。该活动利用受损的登录信息在目标网络上注册恶意设备。然后,渗透的设备被用来传播网络钓鱼电子邮件。看来,攻击主要针对缺乏MFA 安全性的账户而成功,这使得它们更容易被接管。
攻击者采用了以 DocuSign 为主题的电子邮件策略,诱使收件人单击链接来查看并签署文档,从而暴露他们的登录信息。
攻击者利用虚假 DocuSign 电子邮件中的嵌入链接将受害者引导至网络钓鱼网站。这些模仿了 Office 365 登录页面,并配有预先填写的用户名以增加可信度。
微软的遥测数据显示,最初的攻击集中在澳大利亚、新加坡、印度尼西亚和泰国的公司。攻击者似乎主要针对远程工作人员,以及保护不力的托管服务点和其他可能在严格安全协议之外运行的基础设施。
攻击的下一阶段
Microsoft 的安全团队能够通过识别收件箱规则创建中的异常模式来检测威胁。攻击者在获得收件箱控制权后立即添加了这些规则。显然,攻击者使用名为“垃圾邮件过滤器”的恶意邮箱规则破坏了多个组织的一百多个邮箱。这使得攻击者能够保持对受感染邮箱的控制,并将其用于网络钓鱼和其他恶意活动。
使用被盗的凭据,入侵者能够通过在自己的计算机上安装 Outlook 并使用受损的凭据登录来访问受害者的电子邮件帐户。由于接受了 Outlook 的首次启动体验,攻击者的设备从那里自动连接到公司的 Azure Active Directory。微软指出,Azure AD 中的 MFA 策略本可以阻止这种恶意注册的发生。
一旦攻击者的设备访问了受害者的网络,入侵者就开始了他们的活动的第二阶段。他们向目标公司的员工以及承包商、供应商或合作伙伴等外部目标发送网络钓鱼电子邮件。由于这些网络钓鱼消息源自受信任的工作空间,因此它们具有合法性,并且安全解决方案不太可能标记它们。
利用亚马逊网络服务进行网络钓鱼
据Avanan称,网络犯罪分子还使用 Amazon Web Services (AWS) 绕过自动安全扫描仪并发起网络钓鱼攻击。参与者利用 AWS 服务的能力,使用 WordPress 或自定义代码创建和托管网页。从那里,他们可以将带有 AWS 名称的网络钓鱼消息发送到企业电子邮件系统。这使得电子邮件能够逃避通常会阻止此类消息的扫描仪,并增加了欺骗受害者的额外合法性。
最近突出的另一个网络钓鱼活动利用 AWS 并在消息中采用不寻常的语法结构来逃避扫描仪。依赖静态允许或阻止列表来保护电子邮件内容的电子邮件服务也不能免受这些攻击。这些服务评估网站是否安全。但亚马逊网络服务太大且太普遍,无法阻止,因此扫描仪总是将其标记为安全。
攻击者利用知名品牌进行网络钓鱼活动的情况并不罕见。Avanan 报告称,攻击者使用 QuickBooks、PayPal 和 Google Docs 来增加邮件进入收件箱的机会。
使用二维码进行网络钓鱼
最后但并非最不重要的一点是,Zen Chan 还揭示了另一种称为 QRishing 的网络钓鱼攻击。这些攻击将恶意软件链接嵌入电子邮件中的二维码中。这使得大多数电子邮件安全解决方案很难检测到它们。QRishing 还可能导致受害者连接到不安全的 WiFi 网络,从而使攻击者能够捕获敏感信息。
如今,人们使用二维码访问菜单、办理医疗服务登记以及访问公共或组织信息。但流氓二维码也在增加。犯罪分子甚至可以在贴纸上打印恶意二维码以覆盖合法二维码。
为了使事情变得更加复杂,攻击者正在使用社会工程策略,将虚假的 QR 码插入网络钓鱼短信(SMishing 加 QRishing)或社交媒体平台中。扫描后,这些受感染的代码会将受害者重定向到网络钓鱼站点,系统可能会提示他们输入登录凭据,然后攻击者可能会窃取这些凭据。
网络钓鱼看不到尽头
网络钓鱼攻击的狂潮似乎不会很快停止。高度警惕至关重要。对于组织来说,培训和再培训其团队以发现网络钓鱼尝试是值得的。此外,先进的安全解决方案(例如零信任)将变得更加普遍,因为需要对用户、设备、上下文和权限进行验证来阻止入侵者。