云网络钓鱼：新技巧和皇冠上的明珠

演进的云网络钓鱼技术的解释以及从最近的 Dropbox 和 Uber Hack 中吸取的教训

云计算为网络钓鱼者提供了一个新的平台来收获和发展他们的业务。但不仅如此，影响范围更广，也更危险。任何组织，无论大小，都无法免受网络钓鱼攻击。因此，了解您可能如何成为目标以及您可以采取哪些措施来防止它至关重要。

基于 SaaS 的网络钓鱼已经很常见了。例如，超过90% 的数据泄露都是由于网络钓鱼造成的，从被盗的凭据到恶意 URL。此外，根据Palo Alto Networks Unit 42的一份报告，研究人员发现这种滥用行为大幅增加，该公司收集的数据显示，从 2021 年 6 月到 2022 年 6 月，这种滥用行为激增了 1,100%。

随着技术的进步，不仅防御者可以利用更复杂的工具和技术来检测和阻止网络钓鱼电子邮件、链接和消息，而且攻击者也在改进他们的猫捉老鼠游戏。

虽然大多数社会工程攻击是通过电子邮件传递的，但三分之一的 IT 专业人员报告说，2022 年通过其他通信平台传递的社会工程学有所增加。

这些包括通过以下方式进行的攻击：

• 视频会议平台 (44%)，
• 劳动力消息传递平台 (40%)，
• 基于云的文件共享平台 (40%)，以及
• 短信 (36%)。

此外，社交媒体上的网络钓鱼越来越普遍，2022 年第一季度， 全球 52% 的网络钓鱼攻击都针对 LinkedIn 用户。根据Proofpoint 的 2022 年网络钓鱼状况报告，74% 的组织的员工都收到过欺诈性短信（短信诈骗），同样比例的邮件也成为社交媒体的目标。

一种难以检测的新型网络钓鱼技术——SaaS 到 SaaS

所有这些都可能在攻击者不接触受害者的本地计算机/网络的情况下发生。由于这一切都发生在 SaaS 到 SaaS 之间，所有现有的安全措施，如反垃圾邮件网关、沙盒和 URL 过滤，都不会检查。因此，不会生成警报。

此外，随着云办公生产力和多用户协作技术的兴起，攻击者现在有可能在这些信誉良好的域的云基础架构上托管和共享恶意文档、文件甚至恶意软件，而不会被发现。

自2020 年 Check Point Research 调查结果以来，我们看到了使用这种“多阶段”SaaS 到 SaaS 网络钓鱼攻击的趋势。

网络钓鱼攻击的第一阶段通常是伪造发票或托管在云服务上的安全文档 PDF。本文件可下载；但是，需要注意的是，为了方便使用，这些云服务会打开 PDF 以供查看，允许它在 Web 浏览器中加载而不受限制或警告。

它很难检测到，因为它不一定会击中部署的保护。正如我们在新闻中看到的那样，随着8 月份AWS Cloud Phishing 的尝试，如果在电子邮件的入口和出口实施钓鱼检测，它永远不会发生。

所有动作都发生在云端（或多个云端）；当检测/扫描发生时，一切似乎都是合法且加密的。最有可能的是，钓鱼邮件会攻击受害者的机器，所有的魔法都将在浏览器中发生。

多阶段云网络钓鱼

今年年初， 微软警告说，新的网络钓鱼利用 Azure AD攻击那些不使用多因素身份验证的人。

这种攻击现在很猖獗，但以前不是，因为攻击者利用BYOD（自带设备）的概念，通过使用新窃取的凭据进行设备注册，并且可以随时随地访问云身份验证。

没什么特别的，它是一种将传统网络钓鱼与二阶段甚至三阶段动作相结合的新型攻击技术。第一阶段像常规网络钓鱼攻击一样窃取员工的电子邮件。

然而， 第二阶段并没有攻击受害者，而是以受害者的名义在流氓设备上建立了一个新的 Office 365 帐户。一旦在新计算机上建立，受害者的用户帐户（和/或在这种情况下，其 Azure Ad）将用于在公司内部或使用合法电子邮件帐户向客户发送内部网络钓鱼攻击（伪装成受害者）。

如果他们想获得更多控制权或找到更好的“主机”，他们可以通过第一个受害者找到它，然后通过内部网络钓鱼破坏第二个帐户。这些多阶段攻击看似合法，甚至可以在公司的 OneDrive 或 SharePoint 系统上部署恶意软件。

ChatGPT（或其他人工智能）

根据HP Wolf Security 研究，网络钓鱼占恶意软件攻击的近 90%。但 ChatGPT 可能会使整个情况变得更糟。这种智能 🧠 人工智能聊天机器人可以成为一种通过类似人类的友好聊天来收集信息的方式。因此，受害者甚至可能不知道他们正在与 AI 进行交互。

Check Point Research 最近发表了一篇有趣的文章，展示了 AI 模型如何创建完整的感染流程，从鱼叉式网络钓鱼到反向 shell 。可以快速生成多个脚本，并有变化。复杂的攻击过程也可以自动化，使用 LLMs API 生成其他恶意工件。

另一个风险更为突出。 ChatGPT 等人工智能技术将使攻击者能够将大量网络钓鱼与有针对性的攻击（或鱼叉式网络钓鱼）相结合。例如，假设一般网络钓鱼攻击以电子邮件、SMS（在粉碎的情况下）和社交媒体帖子的形式发送数百万封垃圾邮件。但这些很容易被发现，导致产量低。

通过添加 AI Chatbot，可以在几秒钟内生成数百万条鱼叉式网络钓鱼消息。因此，攻击者可以两全其美。因此，在 2023 年，我们可能会看到一些大规模的网络钓鱼，在几分钟内发送数百万条独特的消息。对于安全团队来说，这将是一个巨大的挑战。

其他新颖的网络钓鱼技术

Q瑞兴

攻击者现在正试图通过嵌入在电子邮件中的二维码发送恶意软件链接，这使得大多数电子邮件安全解决方案难以检测到它们。 QRishing 结合了以下词：“QR 代码”+“网络钓鱼”。这表明攻击是以二维码的形式进行的。它可能会引导受害者连接到不安全的 WiFi 网络，同时有人可以轻松捕获您输入的内容。

一些对手甚至在餐厅或其他公共场所粘贴恶意二维码。由于大流行限制了身体接触，QR 码是威胁行为者的流行工具。我们用它来访问菜单、登记疫苗和获取公共信息。此外，社会工程策略是将伪造的二维码插入网络钓鱼文本（SMishing + QRishing）或社交媒体平台。扫描恶意代码后，用户将被重定向到钓鱼网站，受害者可能会被提示登录并窃取他们的凭据。

网络钓鱼

SMishing 结合了“网络钓鱼”和“SMS”这两个词。这意味着它是一种以短信形式通过移动网络发送的网络钓鱼。尽管名称使用 SMS，但这种攻击可能发生在其他消息平台上，例如 Facebook Messenger 或 WhatsApp。常见的 Smishing 尝试将重点放在日常必需品上。错过送货、延迟付款、银行通知、罚款和紧急通知都是诈骗攻击的例子。

这么多人呆在家里，每天网上购物如此之多，我们被硬纸板淹没了。跟踪进入房屋的所有物品非常具有挑战性。将知名的送货服务与虚假的“送货费”通知相结合是成功诈骗的最佳秘诀。

Crown Jewel = 开发者账户

为什么威胁行为者试图破坏开发者帐户？如果它们被盗，会出什么问题？

根据开发人员的职位，攻击者几乎可以访问所有内容：

• SSH 密钥，
• API密钥，
• 源代码，
• 生产基础设施，
• 访问 CI/CD 管道，以及
• 即作品。

至少，这位工程师拥有对源代码的“提交”权限。另一方面，假设组织没有遵循软件工程的最佳实践，例如代码审查和限制谁可以提交到主分支。在这种情况下，攻击者可以修改组织的源代码来改变和感染最终产品。

这个帐户可以手动绕过一些代码检查，这些检查也可以访问有价值的资源（源代码、SSH 密钥、机密、凭证、API 密钥、CI/CD 管道等）。在这种情况下，这种帐户遭到破坏，对组织来说将是毁灭性的。开发人员帐户通常带有 GitHub 或其他代码存储库访问权限。

Dropbox 和优步

9月， 优步披露称黑客窃取了约5700万客户和司机的个人信息。后来，我们发现黑客攻击与通过“ 远程社会工程攻击”获得的硬编码凭据有关。 ”

11 月， Dropbox 因针对其开发人员的网络钓鱼攻击而发生安全事件。尽管存在多因素身份验证 (MFA)，他们还是被一封钓鱼邮件诱骗到一个假网站上填写他们的 Github 凭据。让这些事件变得可怕的是，这不仅仅是来自业务功能的随机用户；开发人员有权访问许多 Dropbox 和 Uber 数据。

MFA疲劳

这两家大型科技公司的两个案例都实施了多因素身份验证。尽管如此，黑客还是找到了一种绕过或解决此措施的方法，可以防止大多数凭据被盗。

在 Uber 的案例中，黑客（据称是一名 17 岁的年轻人）很有创意，想出了一种技术含量低但非常有效的方法—— “ MFA 疲劳攻击”。 ”攻击者尝试反复登录，向用户发送大量推送请求，要求受害者确认登录。一旦受害者停止点击手机上的“否”，然后点击“授权登录”，MFA 就会失败。

对于 Dropbox 案例，这要简单得多。该钓鱼邮件据称来自代码集成和交付平台 CircleCI 。然后，逼真的钓鱼网站诱使开发人员输入凭据和一次性密码。因此，MFA 也失败了。

代码回购等

正如我们在这些事件中看到的那样， GitHub 和持续集成/持续部署 (CI/CD) 管道空间中的其他平台是许多公司的新“皇冠上的明珠”。通过适当的权限，攻击者可以获得知识产权、源代码和其他敏感数据。

但它并不止于此，因为 GitHub 经常与其他平台集成，这让允许的“用户”走得更远。此外，开发人员的帐户通常被授予最深层次的访问权限，因为维护和开发核心应用程序可能是他们工作职责的一部分。这使得开发者帐户成为攻击者的皇冠上的明珠。

如何提高您的网络钓鱼防御能力

根据行业统计数据，平均每个组织每天都会收到数十封网络钓鱼电子邮件，随着恶意软件和勒索软件攻击造成的损失逐年推高登陆网络钓鱼攻击的平均成本，财务损失更加严重。面对所有突出显示的威胁需要额外的努力，虽然您无法消除网络钓鱼攻击的风险，但您可以从观察到的趋势和事件中学习以更好地管理它们。

例如，以下是最近的 Zscaler 报告中的建议：

1. 了解风险以更好地为政策和技术决策提供信息
2. 利用自动化工具和可操作的情报来减少网络钓鱼事件
3. 实施零信任架构以限制成功攻击的爆炸半径
4. 及时提供培训以建立安全意识并促进用户报告
5. 模拟网络钓鱼攻击以识别程序中的漏洞

除了网络钓鱼攻击的五种基本缓解措施外，我们还可以做更多。因此，我将以您可以带来的提示结束本文。知道网络钓鱼者最终会找到一种方法来接近您，拥有更大程度的网络弹性将是一个很好的开始。

技巧 #1：多层网络钓鱼防御方法

针对网络钓鱼的典型电子邮件安全通常完全依赖于单个保护点，例如电子邮件网关和端点/移动代理。通过该门的所有内容都取决于用户能够发现网络钓鱼消息。更不用说攻击者现在正在通过多阶段网络钓鱼来磨练他们的武器。

相反，分层防御方法可以在不影响业务生产力的情况下提高网络弹性。此外，将有多次机会检测和捕获网络钓鱼电子邮件。

1. Reach——阻止电子邮件到达用户的收件箱。这可以通过引入反网络钓鱼安全软件（例如垃圾邮件过滤器）来实现。此外，应实施反欺骗控制，例如； DMARC、DKIM 和 SPF 记录。
2. 识别——大多数数据泄露都是由于人为错误而通过网络钓鱼电子邮件引发的。因此，员工应定期接受识别最新潜在网络钓鱼电子邮件的培训。这将使他们能够在事件确实发生时遵循公司流程，其中应包括向相关团队报告事件。
3. 保护——当事件确实发生时，应该采取保护措施。这些保护包括但不限于；实施多因素身份验证 (MFA)、密码管理器、定期 IT 健康检查和端点防御。
4. 回应——工作人员应该能够向相关团队报告网络钓鱼事件。应有专门的安全日志记录和警报系统，以及事件响应计划。

技巧 #2：即时 (JIT) 访问方法

Gartner声称，特权访问会带来重大危险。即使使用 PAM 工具，具有常设特权的用户所带来的风险仍然存在，而且相当大。他们建议身份和访问管理 (IAM) 领导者使用即时 (JIT) 解决方案，以最终实现无常设特权的姿态。

Gartner还提供了一种解决方案来应对它——准时化方法。例如，当开发人员使用这些凭证来设置或修改生产资源时，授予他们适当的权限是至关重要的，只有完成指定任务所需的能力。

提示 #3：检查邮箱转发

威胁行为者使用受感染的帐户不仅可以窃取内部数据，还可以：

• 阅读用户的电子邮件，
• 分发恶意软件，
• 垃圾邮件,
• 了解用户并进一步启动第二阶段钓鱼，以及
• 将电子邮件转发给外部收件人。

攻击者可能会设置电子邮件规则来向用户隐藏他们的恶意活动，从而将收到的电子邮件隐藏在受感染的用户邮箱中。他们还可能在受感染的用户邮箱中创建规则，以删除电子邮件、将它们移动到不太显眼的文件夹（例如 RSS 文件夹）或将电子邮件转发到外部帐户。

可以使用转发规则手动或自动转发电子邮件。自动转发可以通过多种方式完成，包括收件箱规则、Exchange 传输规则 (ETR) 和 SMTP 转发。虽然手动转发需要用户直接采取行动，但他们可能需要了解所有自动转发的电子邮件。

最后的话

现实情况是，只要公式中包含人为因素，就没有人可以完全停止网络钓鱼。因此，从长远来看，我们能做的最好的事情就是采用零信任架构来确保电子邮件安全。这将是多层防御方法的更精细的设计。

电子邮件的零信任方法可以通过专注于身份验证（验证用户/设备信任）来帮助组织抵御电子邮件冒充攻击——确保进入企业环境或登陆最终用户收件箱的电子邮件来自合法的个人、品牌和域.

每个技术组织中的软件开发人员都享有特权地位。他们是任何现代公司的关键，因为他们可以上游访问分发给客户的产品，并可以访问生产系统和基础设施。如果开发人员得不到保护，安全组织就会失败，从而导致灾难。

如果您不幸中了网络钓鱼攻击，请执行以下操作：

• 联系IT部门，让他们了解情况
• 重置相关应用程序的密码
• 请不要使用重复的密码。相反，使用与上述应用程序相同的密码重置帐户。
• 30天细心监控账户

最后，NIST 开发了一种方法来帮助安全团队查看用户点击钓鱼邮件的原因：

感谢您阅读。愿 InfoSec 与你同在🖖。