【施展魔爪】SaaS 平台作網絡釣魚攻擊 大增 1,100%
根據 Palo Alto Networks Unit 42 的一份新報告,發現威脅參與者透過合法的軟件即服務 (SaaS) 平台,如 website builder 和個人品牌空間等,創建竊取登入憑證的惡意網絡釣魚網站。研究人員發現這種濫用 SaaS 平台的行為急劇增加,其數據更顯示,從 2021 年 6 月到 2022 年 6 月,這種攻擊大幅增加了 1,100%。
攻擊者使用 SaaS 平台進行網絡釣魚,其好處包括避開電郵安全系統的警報,得到高可用性,以及毋須學習如何編寫代碼來創建貌似 合法的網站。此外,由於 SaaS 平台簡化了創建新站點的過程,攻擊者可以輕鬆切換到不同的主題、擴大規模或多樣化其運營,並快速響應報告和刪除。
Unit 42 將被濫用的平台分為六類:文件共享和託管站點(file sharing and hosting sites)、表格和調查構建器(form and survey builders)、網站構建器(website builders)、筆記和文檔編寫平台(note-taking and documentation writing platforms),以及個人檔案空間(personal portfolio spaces)。Palo Alto Networks 的過濾系統記錄了所有類別的濫用增長,其中錄得最明顯攻擊增長的分別是網站構建器、協作平台和表單構建器。
此外,統計數據發現這類型的攻擊在 2021 年 10 月顯著上升,主要是由於濫用表單生成器突然增加。2021 年,Cyren 報告了濫用“typeform.com” 進行網絡釣魚猖獗,Trend Micro 一份早前的報告提到,“123formbuilder.com”、“formtools.com” 和 “smartsurvey.co.uk” 遭濫用,而 Cofense 則提到 “Canva.com” 的濫用。
Unit 42 報告解釋說,在許多情況下,網絡釣魚攻擊者直接在被濫用的服務上託管他們的憑證竊取頁面,因此他們向目標發送包含指向該頁面 URL 的電子郵件。在其他情況下,託管在被濫用服務上的登入頁面本身並不包含憑證竊取表單。他們反而以一個重新定向步驟,將受害者帶到另一個站點。
網絡釣魚網站可以託管在不響應刪除請求的防彈服務供應商上,因此網絡釣魚攻擊者能藉以增加攻擊正常運行時間,同時犧牲轉換率。即使網絡釣魚頁面沒有得到好的保護,將其隱藏在多一層之後,也可以減少在被刪除的情況下,而引致重新設置內容所需的勞動力。報告提到,如果最終的憑證竊取頁面被刪除,攻擊者可以簡單地更改連結,並指向新的憑證竊取頁面,從而保持原始活動的有效性。
報告提到,阻止濫用合法 SaaS 平台非常困難,因為針對實施電子郵件過濾器並非選擇,因此其適合網絡釣魚活動,也是自去年以來其濫用增加得如此驚人的原因。報告建議,如果在電子郵箱中發現要求採取緊急行動的訊息,請避免單擊嵌入式連結或按鈕,而使用搜索引擎查找可能是假的官方網站;當被要求輸入帳戶憑證時,請確保正處於合法的網站 URL 上,才再開始輸入內容。
