主要内容开始

值得信赖的Google Link可能是一种网络钓鱼攻击

GENADY VISHNEVETSKY,首席信息安全官

四个带有图标的挂钩挂在带有二进制代码和锁定符号的红色背景上,说明了虚假电子邮件和登录表单等网络钓鱼威胁。

你看不到的骗局即将到来,因为它看起来完全安全

想象一下。 

这是本月最繁忙的一周。你有三笔交易。关闭、电汇确认、最后一分钟文件——一切都立即点击您的收件箱。然后弹出一条消息,其中包含共享文件的链接。 

您检查 URL,就像您受过训练一样。一切看起来都对了。它显示 storage.googleapis.com。 有一个挂锁。它从https开始。谷歌的名字就在那里。 

一切看起来都很完美。 

您点击。  

出现登录页面。 

你看不到的是,你被立即重定向到一个由攻击者控制的网站。 当假登录表单加载时,Google 的域已从您的地址栏中消失。 

几秒钟后,您的凭证就掌握在别人手中。 

这种攻击正在迅速蔓延 - 安全研究人员说它只会变得更加复杂。 

网络犯罪分子越来越多地将受信任的云平台变成网络钓鱼诈骗的启动板。通过在几分钟内站起来在信誉良好的领域上说服网站,他们避开了传统的阻止名单,并赢得了知名提供商的信誉。如果您要询问云托管如何用于网络钓鱼攻击,答案很简单:规模、自动化和内置信任。本指南解释了转变、云托管安全风险以及您现在可以采取的实际步骤,以保护员工和数据,而不会减慢业务。

为什么网络钓鱼已经迁移到云

攻击者已经从受攻击的个人服务器迁移到主流云服务,因为品牌熟悉度,免费TLS证书和全球内容交付使他们的页面看起来合法一目了然。常见的滥用服务包括对象存储和静态托管、无服务器功能、低代码应用程序构建器、共享文档和表单的协作套件以及内容交付网络。甚至与受信任域相关的链路炸油也被滥用以隐藏目的地。

行业报告显示云网络钓鱼的稳步增长,这些云网络钓鱼冒充银行、薪资门户、人力资源工具和生产力应用程序。原因很简单:基础设施可以快速创建和停用,因此检测和删除通常滞后于活跃的活动。攻击者利用用户对熟悉的云域的信任。这是网络钓鱼攻击的新前线,它强调了需要注意的紧急云托管安全风险。

攻击者如何利用值得信赖的品牌

网络罪犯发现了一些强大的东西:如果你不能打败信任,借它。安全研究人员最近发现了大规模运行的网络钓鱼活动,这些活动滥用了合法的云托管服务。

他们使用哪些平台?

在最近的活动中,攻击者在合法的云托管服务中创建了文件夹,例如: 

  • Google Cloud Storage - Google 自己的托管服务 
  • Microsoft Azure 
  • 亚马逊网络服务(AWS)

在这些文件夹中,他们上传了从外部看起来无害的微小重定向页面。但当你点击时,你就会跳到凭据收集网站。 

它如何工作?

  • 您收到的链接实际上托管在 Google 上 
  • 证书有效 
  • 安全筛选器看到受信任的域 
  • 没有什么看起来是恶意的——直到你已经走了

如果品牌名称让您信服,重定向将执行其余操作。 

许多电子邮件安全过滤器会根据已知恶意站点的数据库检查链接。当一个链接指向“storage.googleapis.com”时,过滤器会看到谷歌,并通过将其标记为可信和信誉良好来挥手。它从来没有看到你到底在哪里。

为什么这样做?

  • 您收到的链接实际上托管在 Google 上
  • 证书有效
  • 安全筛选器看到受信任的域
  • 没有什么看起来是恶意的——直到你已经走了

如果品牌名称让您信服,重定向将执行其余操作。 

许多电子邮件安全过滤器会根据已知恶意站点的数据库检查链接。当一个链接指向“storage.googleapis.com”时,过滤器会看到Google,并通过将其标记为可信和信誉良好来挥手。它从来没有看到你到底在哪里。

简单类比

想一想,就像从您认识的律师事务所收到一封带有退货地址的信函一样。邮政服务检查了信封,并安全盖章。但是里面有一张便条,把你完全引导到其他地方。 

一切看起来都是合法的,直到你被默默地重定向到其他地方。

为什么即使是现代安全工具也会错过这些攻击

这种技术之所以成功,是因为它避开了我们依赖的检查点,并利用了人类和技术上的信任捷径。 

大多数电子邮件过滤器会在静止时扫描链接,而不是在加载后扫描链接。 
 
这意味着:

  • 系统仅看到初始 Google/Azure/AWS 链接 
  • 它检查为“安全” 
  • 从不分析重定向目标 

换句话说,恶意网站隐藏在一个合法的网站后面,安全工具只看到前门,而不是通往后面的走廊。

这不仅仅是谷歌的问题

这不仅限于谷歌。 

研究人员在Microsoft Azure,Amazon Web Services和其他云平台上发现了相同的技术。攻击者并没有突破这些服务 - 他们正按预期使用它们,并借鉴了这些品牌多年来建立的信任。 

只要平台允许用户托管内容,它就会被滥用。

为什么这对房地产交易很重要

对于房地产和产权行业来说,风险是明确的。 

像这样的网络钓鱼攻击可能导致:

这不是 IT 的麻烦。 

这是交易层面的财务威胁。 

一个被盗的凭证可以使攻击者访问触摸托管账户和电汇指令的系统。这不是一个不便——这是一个潜在的电汇欺诈事件。

实用要点:如何保护自己和交易

为您的登录页面添加书签

对于任何您输入凭据的站点,如电子邮件、有线平台、标题制作软件,请保存书签并每次使用。  
 
不要依赖来自电子邮件的链接,即使URL看起来像Google。

页面加载检查地址栏

如果 URL 更改为无法识别的内容,尤其是在单击共享文档链接之后,请立即关闭选项卡。  

养成在输入凭据的任何页面上验证 URL 的习惯。

怀疑意外登录提示

如果您已经登录,合法的云文档通常不会要求您重新输入凭据。  

单击链接后出现的登录屏幕将发出标记。

通过第二信道验证

您是否收到来自值得信赖的同事或客户的链接?  

一条快速的文本或 Teams 消息——“你刚刚给我发送了 Google 链接吗?”——给他们花了十秒钟时间,完全消除了风险。

报告可疑链接

如果感觉不舒服,请报告。  

即使域名看起来合法,也要报告可疑链接。您的安全团队需要了解这些尝试,以保护他人。可用时,使用“报告电子邮件”按钮。

云网络钓鱼攻击的关键要点:信任,但验证

攻击者的整个策略之所以有效,原因之一是:它假设你太忙了,无法质疑这种熟悉的联系是否真实。 

在一个建立在对手方之间信任的行业中,花几秒钟时间验证不是摩擦,这是工作。

阅读更多网络安全提示

有关 Stewart CISO Genady Vishnevetsky 的更多行业和网络安全最佳实践,请查看以下文章: