云釣魚：新伎倆和“皇冠上的寶石” - 網安 - 專業的網絡安全產業、社區、知識平臺

云計算為網絡釣魚者提供了一個收獲和發展業務的新平臺。不僅如此，其影響也更為廣泛、危險。任何組織，無論大小，都不可避免地會受到網絡釣魚攻擊的傷害。因此，了解攻擊是如何發生的以及如何預防可謂至關重要。

基于SaaS的網絡釣魚已經十分普遍。例如，數據顯示超過90%的數據泄露都歸咎于網絡釣魚，手段更是層出不窮，從被盜的憑據到惡意鏈接等等。此外，根據Palo Alto Networks發布的一份報告指出，研究人員發現網絡釣魚攻擊正在大幅增加，該公司收集的數據顯示，從2021年6月到2022年6月，這種攻擊大幅增長了1100%。

隨著技術的不斷進步，不僅防御者可以利用更復雜的工具和技術來檢測和阻止釣魚電子郵件、鏈接和消息，與此同時，攻擊者也在不斷改進他們的攻擊策略。

雖然大多數社會工程攻擊都是通過電子郵件進行的，但三分之一的IT專業人士報告稱，2022年通過其他通信平臺進行的社會工程攻擊有所增加。這些攻擊平臺包括：

視頻會議平臺（44%）；
勞動力信息平臺（40%）；
基于云的文件共享平臺（40%）；
短信（36%）。

此外，社交媒體上的網絡釣魚也日益普遍，在2022年第一季度，LinkedIn用戶成為全球52%的網絡釣魚攻擊的目標。根據Proofpoint發布的《2022年網絡釣魚狀況報告》指出，74%的組織機構員工收到過釣魚短信（smishing），同樣比例的員工在社交媒體上成為攻擊目標。

一種難以檢測的新型網絡釣魚技術：?SaaS-to-SaaS

SaaS-to-Saa網絡釣魚可以在不接觸受害者本地計算機/網絡的情況下發生。由于一切都發生在SaaS到SaaS之間，因此所有現有的安全措施（例如反垃圾郵件網關、沙盒和URL過濾等）都不會檢測到威脅，也不會觸發警報。

此外，隨著云辦公生產力和多用戶協作技術的興起，攻擊者現在可以在這些知名的云基礎設施上托管和共享惡意文檔、文件甚至惡意軟件，而不被發現。

自2020年Check Point研究報告曝光這種新型攻擊類型以來，我們已經看到使用這種“多階段”?SaaS-to-Saa網絡釣魚攻擊的趨勢。

【?SaaS-to-Saa網絡釣魚攻擊流示例圖】

網絡釣魚攻擊的第一階段通常是云服務上托管的偽造發票或PDF文檔。這些文檔可以下；然而，必須注意的是，為了方便使用，云服務一般會允許這些PDF文件在沒有限制或警告的情況下在web瀏覽器中加載，以供用戶查看。

這就導致此類威脅很難被發現，因為它不一定會觸發部署的防御措施。正如8月份曝光的針對AWS云的網絡釣魚攻擊嘗試，如果組織只是在電子郵件的入口和出口實施網絡釣魚檢測，那么可能永遠無法檢測到此類攻擊。因為所有操作都發生在云中（或多個云中）；當檢測/掃描發生時，所有的東西似乎都是合法和加密的。最有可能的是，后續所有的網絡釣魚操作都發生在瀏覽器中。

多階段云網絡釣魚

【多階段云網絡釣魚示例圖】

今年早些時候，微軟曾警告說，新的網絡釣魚活動正在積極利用Azure AD，攻擊那些不使用多因素身份驗證的人。

這種前所未見的網絡釣魚攻擊現在正蓬勃發展，攻擊者利用了BYOD（自帶設備）的概念，通過使用被盜憑據進行設備注冊，從而可以隨時隨地訪問云身份驗證。

這是一種新穎的攻擊技術，將傳統的網絡釣魚與第二階段甚至第三階段的操作相結合。第一階段像常規網絡釣魚攻擊一樣竊取員工的電子郵件。

然而，第二階段的目標并非直接攻擊受害者，而是以受害者的名義在流氓設備上創建一個新的Office 365帳戶。一旦創建完成，受害者的帳戶（本案例中為其Azure Ad）將被用于以受害者的名義在公司內發起內部網絡釣魚攻擊。

如果攻擊者想獲得更多控制權或找到一個更好的“宿主”，他們還可以通過第一個受害者找到它，然后通過內部網絡釣魚入侵第二個賬戶。這種多階段網絡釣魚攻擊看上去是合法的，甚至可以在公司的OneDrive或SharePoint系統上部署惡意軟件。

ChatGPT（或其他AI技術）

根據HP Wolf Security的研究，網絡釣魚占惡意軟件攻擊的近90%。但是ChatGPT可能會使整體情況變得更糟。這種智能的AI聊天機器人（Chatbot）可以模擬人類聊天來收集個人信息，因此，受害者甚至可能并不知道他們正在與人工智能互動。

Check Point Research最近發表了一篇有趣的文章，展示了AI模型如何創建完整的感染流程——從魚叉式網絡釣魚到逆向Shell。人工智能技術可以快速生成多個腳本，并帶有變體。這種復雜的攻擊過程甚至還可以自動化，并使用LLMs APIs生成其他惡意工件。

另一個風險更為突出。像ChatGPT這樣的人工智能技術將使攻擊者能夠將大規模網絡釣魚與有針對性的攻擊(或魚叉式網絡釣魚)混合在一起。例如，傳統的網絡釣魚攻擊一般以電子郵件、短信和社交媒體帖子的形式發送數百萬封垃圾郵件。但這些內容很容易被發現，導致產能偏低。

隨著人工智能聊天機器人的加入，攻擊者可以在短短幾秒鐘內生成數百萬條魚叉式網絡釣魚消息。如此一來，攻擊者將可以收獲事半功倍的效果。因此，在2023年，我們可能會看到一些大規模的網絡釣魚，在幾分鐘內發送數百萬條針對不同用戶的獨特消息。這對于安全團隊來說將是一個巨大的挑戰。

其他新穎的網絡釣魚技術

二維碼釣魚攻擊（QRishing）

攻擊者現在正試圖通過嵌入在電子郵件中的二維碼分發惡意軟件鏈接，這使得大多數電子郵件安全解決方案難以檢測到它們。QRishing由“二維碼（QR碼）”+“網絡釣魚”組成，這表明攻擊是以二維碼的形式進行的。它可能會引導受害者連接到不安全的WiFi網絡，而攻擊者可以很容易地捕捉到你正在輸入的內容。

一些攻擊者甚至在餐館或其他公共場所粘貼惡意二維碼。由于疫情大流行限制了物理接觸，我們需要通過掃描二維碼點菜、檢查核酸、疫苗狀態或獲取其他公共信息，這也使得二維碼日益成為威脅行為者的流行工具。此外，流行的社會工程策略是在網絡釣魚文本（短信+二維碼）或社交媒體平臺中插入虛假二維碼。用戶掃描惡意二維碼后，會被重定向到網絡釣魚站點，提示受害者登錄

并竊取其賬戶密碼。

短信釣魚（SMishing）

SMishing結合了phishing（網絡釣魚）和SMS（短信）兩個詞，這意味著這是一種通過你的移動網絡以短信形式發送的網絡釣魚。雖然名字中使用了SMS，但這種攻擊也可以發生在其他通訊平臺上，如Facebook messenger或WhatsApp。貨件丟失理賠、延遲付款、銀行通知、罰款和緊急通知等都是短信釣魚攻擊的常見例子。

“皇冠上的寶石”：開發者賬戶

為什么威脅行為者要試圖破壞開發者帳戶？如果它們被盜了，會出現什么問題？

根據開發人員的特殊屬性，攻擊者幾乎可以訪問所有內容：

SSH密鑰；
API密鑰；
源代碼；
生產基礎設施；
CI/CD管道訪問權限；
工作數據。

假設一名初級工程師的賬戶被盜。至少，這個工程師擁有對源代碼的“commit”訪問權。另一方面，假設組織沒有遵循軟件工程的最佳實踐，例如代碼審查和限制誰可以提交到主要分支。在這種情況下，攻擊者可以修改組織的源代碼來改變和感染最終產品。

在最壞的情況下（也是最有可能的情況），攻擊者將獲得訪問具有更多權限的高級開發人員的權限。這個帳戶可以手動繞過一些代碼檢查，也可以訪問有價值的資源（源代碼、SSH密鑰、機密、憑據、API密鑰、CI/CD管道等等）。這種情況下，這種類型的帳戶被泄露，對一個組織來說將是毀滅性的。開發人員帳戶通常帶有GitHub或其他代碼存儲庫訪問權限。

Dropbox & Uber

2022年9月，優步披露，黑客竊取了約5700萬名客戶和司機的個人信息。后來，我們發現黑客攻擊與“遠程社會工程攻擊”獲得的硬編碼憑證有關。

2022年11月，Dropbox也發生了一起針對其開發人員的網絡釣魚攻擊的安全事件。盡管有多因素身份驗證（MFA），他們還是被釣魚電子郵件引誘到一個假網站上填寫了他們的Github憑據。讓這些事件變得可怕的是，受害者并非是一個來自業務功能的隨機用戶；而是擁有訪問Dropbox和Uber數據特權的開發者。

MFA疲勞

這兩家科技巨頭的案例都實現了多因素身份驗證。盡管如此，黑客還是找到了一種方法來繞過這一措施，最終實現憑證竊取的惡意目的。

在優步的案例中，黑客（據稱是一名17歲的年輕人）很有創意，想出了一種技術含量低但非常有效的方法——“MFA疲勞攻擊”。攻擊者試圖反復登錄，向用戶發送大量的推送請求，要求受害者確認登錄。一旦受害者停止在他們的手機上點擊“否”，轉而確認“授權登錄”，那么MFA的防護功能就失效了。

Dropbox的情況要簡單得多。該釣魚郵件據稱源自代碼集成和交付平臺CircleCI。然后，攻擊者利用高度仿真的釣魚網站欺騙開發人員輸入憑據和一次性密碼。結果，MFA也失效了。

網絡釣魚防御方案

根據行業統計數據，企業平均每天都會收到數十封網絡釣魚電子郵件，由于網絡釣魚導致的惡意軟件和勒索軟件攻擊造成的平均成本逐年增長，導致財務損失加劇。以下是一些緩解新型網絡釣魚攻擊的建議：

了解風險，以便更好地為政策和技術決策提供信息；
利用自動化工具和可操作的情報來減少網絡釣魚事件；
實施零信任架構，限制成功攻擊的破壞半徑；
及時提供培訓，以建立安全意識并促進用戶報告事件；
模擬網絡釣魚攻擊以識別流程中的安全缺口；

除了上述五個基本策略外，我們還可以做更多的工作，以擁有更大程度的網絡彈性。

多層網絡釣魚防御方法

典型的針對網絡釣魚的電子郵件安全通常只依賴于單一的保護點，例如電子郵件網關和端點/移動代理。所有通過這道門的東西都將取決于用戶是否能夠發現釣魚信息。更不用說攻擊者現在用多階段網絡釣魚來磨礪他們的武器了。

相反地，分層防御方法可以在不影響業務生產力的情況下提高網絡彈性。此外，還會有多次機會檢測和捕獲釣魚電子郵件。

到達——防止電子郵件到達用戶的收件箱。這可以通過引入反釣魚安全軟件，如垃圾郵件過濾器來實現。此外，應實施反欺騙控制，如DMARC、DKIM和SPF記錄。
識別——由于人為錯誤，大多數數據泄露都是通過釣魚電子郵件發起的。因此，員工應定期接受培訓，以識別最新的潛在釣魚郵件。這將使他們能夠在事件發生時遵循公司的流程，其中應包括向相關團隊報告事件。
保護——當事故發生時，應該采取保護措施。這些保護措施包括但不限于實施多因素身份驗證（MFA）、密碼管理器、定期IT運行狀況檢查和端點防御。
響應——員工應能向相關小組報告釣魚事件。此外，還應有專門的安全日志記錄和警報系統，以及事件響應計劃。

即使有些攻擊成功了，這種方法也將有助于事件響應并將影響降至最低。

JIT（Just-in-time）訪問原則

Gartner稱，特權訪問帶來了重大風險。即便使用PAM工具，具有長期特權的用戶所帶來的風險仍然存在，而且是相當大的。他們建議身份和訪問管理（IAM）領導者使用JIT解決方案，以最終實現“沒有長期特權”的狀態。例如，當開發人員需要使用憑據來設置或修改生產資源時，向他們授予適當的（僅提供完成指定工作所需的）權限是至關重要的。

處理信息安全的JIT方法只允許用戶在工作時訪問特權資源。這減少了攻擊面，并消除了持久持有特權帶來的風險。

審查郵箱轉發

威脅行為者不僅會使用被泄露的賬戶竊取內部數據，還會使用以下手段：

閱讀用戶的郵件；
分發惡意軟件；
垃圾郵件；
了解用戶并進一步啟動第二階段網絡釣魚；
向外部收件人轉發郵件。

攻擊者可能會設置電子郵件規則，以向用戶隱藏其惡意活動，從而將傳入的電子郵件隱藏在受感染的用戶郵箱中。他們還可能在受感染的用戶郵箱中創建規則，刪除電子郵件，將其移動到不太可見的文件夾（如RSS文件夾），或將電子郵件轉發到外部帳戶。

郵件可以通過轉發規則手動或自動轉發。自動轉發可以通過多種方式實現，包括收件箱規則、交換傳輸規則（ETR）和SMTP轉發。雖然手動轉發要求用戶采取直接行動，但他們可能需要了解所有自動轉發的電子郵件。

明智的做法是對所有外部地址的電子郵件轉發規則進行審查，并檢查它是不是一個不尋常的IP地址，并與用戶的日常活動相對應。

結語

殘酷的現實是，只要有人為因素存在，就沒有人能完全阻止網絡釣魚。因此，從長遠來看，我們能做的最好的事情就是在電子郵件安全方面采用零信任架構。這將是多層防御方法的更細粒度設計。