電子郵件成為網絡釣魚攻擊主要媒介的日子早已一去不復返了。現在，網絡釣魚攻擊發生在短信、語音、社交媒體和消息應用程序上。它們還隱藏在 Azure 和 AWS 等值得信賴的服務背后。隨著云計算的擴展，更多基于軟件即服務 (SaaS) 的網絡釣魚方案成為可能。

網絡釣魚策略的發展速度比以往任何時候都快，攻擊的種類也在不斷增加。安全專業人員需要注意。

SaaS 到 SaaS 網絡釣魚

網絡犯罪分子不再從頭開始構建網絡釣魚頁面，而是越來越多地轉向已建立的 SaaS 平臺來執行他們的惡意軟件計劃。通過利用合法域來托管網絡釣魚活動，檢測引擎識別它們變得更具挑戰性。而且由于 SaaS 平臺需要最少的技術專業知識，因此新手黑客更容易發起攻擊。

合法 SaaS 平臺上托管的網絡釣魚 URL 數量以驚人的速度增加。Palo Alto's Unit 42 的數據顯示，從 2021 年 6 月到 2022 年 6 月，新檢測到的托管在合法 SaaS 平臺上的網絡釣魚 URL 的比率增加了 1100% 以上。

HackerNoon 網絡專家Zen Chan指出，網絡犯罪分子利用基于云的 SaaS 平臺發起網絡釣魚攻擊，而無需訪問受害者的本地計算機或網絡。Chan 表示，基于 SaaS 的網絡釣魚使得反垃圾郵件網關、沙箱和 URL 過濾等傳統安全措施難以檢測和標記這些惡意活動。隨著基于云的辦公生產力和協作工具的使用越來越多，攻擊者現在可以輕松地在信譽良好的域上托管和共享惡意文檔、文件和惡意軟件。

當我們考慮到惡意下載可能源自 Google Drive 或 DropBox 等平臺時，問題的嚴重性就顯而易見了。在這些地方，惡意軟件很容易偽裝成圖片、發票圖像、PDF 或重要的工作文件。問題在于，在云存儲中，文件是加密的，這使得安全工具能夠逃避。正如CheckPoint研究人員所解釋的那樣，惡意文件僅在受害者的計算機上解密。

網絡釣魚活動中使用的 SaaS 平臺示例包括：

• 文件共享
• 表單生成器
• 網站建設者
• 筆記/協作工具
• 設計/原型制作/線框圖
• 個人品牌。

利用 Azure 進行網絡釣魚

在最近的一份報告中，微軟的威脅分析師發現了另一種復雜的網絡釣魚計劃。該活動利用受損的登錄信息在目標網絡上注冊惡意設備。然后，滲透的設備被用來傳播網絡釣魚電子郵件。看來，攻擊主要針對缺乏MFA 安全性的賬戶而成功，這使得它們更容易被接管。

攻擊者采用了以 DocuSign 為主題的電子郵件策略，誘使收件人單擊鏈接來查看并簽署文檔，從而暴露他們的登錄信息。

攻擊者利用虛假 DocuSign 電子郵件中的嵌入鏈接將受害者引導至網絡釣魚網站。這些模仿了 Office 365 登錄頁面，并配有預先填寫的用戶名以增加可信度。

微軟的遙測數據顯示，最初的攻擊集中在澳大利亞、新加坡、印度尼西亞和泰國的公司。攻擊者似乎主要針對遠程工作人員，以及保護不力的托管服務點和其他可能在嚴格安全協議之外運行的基礎設施。

攻擊的下一階段

Microsoft 的安全團隊能夠通過識別收件箱規則創建中的異常模式來檢測威脅。攻擊者在獲得收件箱控制權后立即添加了這些規則。顯然，攻擊者使用名為“垃圾郵件過濾器”的惡意郵箱規則破壞了多個組織的一百多個郵箱。這使得攻擊者能夠保持對受感染郵箱的控制，并將其用于網絡釣魚和其他惡意活動。

使用被盜的憑據，入侵者能夠通過在自己的計算機上安裝 Outlook 并使用受損的憑據登錄來訪問受害者的電子郵件帳戶。由于接受了 Outlook 的首次啟動體驗，攻擊者的設備從那里自動連接到公司的 Azure Active Directory。微軟指出，Azure AD 中的 MFA 策略本可以阻止這種惡意注冊的發生。

一旦攻擊者的設備訪問了受害者的網絡，入侵者就開始了他們的活動的第二階段。他們向目標公司的員工以及承包商、供應商或合作伙伴等外部目標發送網絡釣魚電子郵件。由于這些網絡釣魚消息源自受信任的工作空間，因此它們具有合法性，并且安全解決方案不太可能標記它們。

利用亞馬遜網絡服務進行網絡釣魚

據Avanan稱，網絡犯罪分子還使用 Amazon Web Services (AWS) 繞過自動安全掃描儀并發起網絡釣魚攻擊。參與者利用 AWS 服務的能力，使用 WordPress 或自定義代碼創建和托管網頁。從那里，他們可以將帶有 AWS 名稱的網絡釣魚消息發送到企業電子郵件系統。這使得電子郵件能夠逃避通常會阻止此類消息的掃描儀，并增加了欺騙受害者的額外合法性。

最近突出的另一個網絡釣魚活動利用 AWS 并在消息中采用不尋常的語法結構來逃避掃描儀。依賴靜態允許或阻止列表來保護電子郵件內容的電子郵件服務也不能免受這些攻擊。這些服務評估網站是否安全。但亞馬遜網絡服務太大且太普遍，無法阻止，因此掃描儀總是將其標記為安全。

攻擊者利用知名品牌進行網絡釣魚活動的情況并不罕見。Avanan 報告稱，攻擊者使用 QuickBooks、PayPal 和 Google Docs 來增加郵件進入收件箱的機會。

使用二維碼進行網絡釣魚

最后但并非最不重要的一點是，Zen Chan 還揭示了另一種稱為 QRishing 的網絡釣魚攻擊。這些攻擊將惡意軟件鏈接嵌入電子郵件中的二維碼中。這使得大多數電子郵件安全解決方案很難檢測到它們。QRishing 還可能導致受害者連接到不安全的 WiFi 網絡，從而使攻擊者能夠捕獲敏感信息。

如今，人們使用二維碼訪問菜單、辦理醫療服務登記以及訪問公共或組織信息。但流氓二維碼也在增加。犯罪分子甚至可以在貼紙上打印惡意二維碼以覆蓋合法二維碼。

為了使事情變得更加復雜，攻擊者正在使用社會工程策略，將虛假的 QR 碼插入網絡釣魚短信（SMishing 加 QRishing）或社交媒體平臺中。掃描后，這些受感染的代碼會將受害者重定向到網絡釣魚站點，系統可能會提示他們輸入登錄憑據，然后攻擊者可能會竊取這些憑據。

網絡釣魚看不到盡頭

網絡釣魚攻擊的狂潮似乎不會很快停止。高度警惕至關重要。對于組織來說，培訓和再培訓其團隊以發現網絡釣魚嘗試是值得的。此外，先進的安全解決方案（例如零信任）將變得更加普遍，因為需要對用戶、設備、上下文和權限進行驗證來阻止入侵者。