一切始于耳语–在一个普通的周二早晨,几封不起眼的邮件悄然进入收件箱。没有铃声,没有口哨,没有任何乍一看会让人瞠目结舌的东西。但是,在这些熟悉的云服务标识和精心制作的通知背后,是一种新型的网络钓鱼活动,一种由人工智能驱动的创新产物。这不是普通的网络钓鱼;这是云原生的伏击,是对企业安全的人为层的直接威胁。
Aryaka 威胁研究实验室发现了新一轮基于云的网络钓鱼活动,这些活动利用谷歌云存储(GCS)来托管欺诈性重定向器和网络钓鱼网站。这些攻击结合了社会工程学和对合法云基础设施的滥用,利用用户对谷歌域的固有信任来实施出于经济动机的诈骗。
该活动强调了威胁行为者是如何利用电子邮件验证中的漏洞绕过企业防御系统的。通过发送通过 SPF 检查但缺乏 DKIM 签名的邮件,并通过薄弱的 DMARC 策略进行强化,攻击者可以向收件人和电子邮件安全系统发送看似合法的电子邮件,从而增加成功入侵的可能性。
下面让我们来了解一下攻击模式的整体情况:
- 电子邮件冒充:攻击者冒充 Gmail 或 Google Drive 等可信服务发送网络钓鱼电子邮件,使用专业信息和令人信服的主题行(如 “订阅终止通知”)。
- GCS 托管重定向:电子邮件链接到 Google Cloud Storage (GCS) 托管的 HTML 文件,这些文件会在受害者的浏览器中执行 JavaScript 重定向,从而绕过静态扫描程序和 URL 过滤器。
- 验证码规避:重定向链包括验证码挑战,以避免自动分析,并让用户觉得是合法的。
- 欺诈性奖励门户网站:受害者被引导到虚假的奖品或奖金网站,这些网站会提示他们注册或存款。
- 用户和浏览器数据收集:攻击者收集详细的用户和浏览器元数据,并将其发送到 Mixpanel、Google Analytics 和 Amplitude 等分析平台,以跟踪行为和优化营销活动。
- 利用可信云基础设施:威胁行为者利用合法的云平台逃避检测,使诈骗更难被发现,规模化后更有效。
这种方法凸显了网络犯罪日益增长的演变趋势,即合法的云平台成为攻击面的一部分。威胁行为者不再在可疑域上托管恶意内容,而是利用谷歌的可信基础设施来绕过审查,从而使这些骗局更难被发现,并在规模上更加有效。
Aryaka 威胁研究实验室已负责任地向谷歌云披露了这一滥用行为,以支持补救措施并防止进一步滥用其基础设施。我们还与 Proofpoint 新兴威胁研究团队进行了协调,以确保检测规则集得到更新,从而涵盖这一活动。
新兴威胁》(Emerging Threats)也提到了这一合作成果,它彰显了网络安全界在应对不断变化的云威胁方面的实力。这证明了集体防御的力量以及为更大利益共享情报的重要性。
这项研究证实了一个重要的事实:信任一旦被滥用,就会成为云时代最有力的欺骗手段之一。