诈骗者正在使用云服务创建和托管网页,这些网页可用于引诱受害者交出他们的凭据
犯罪分子正在通过亚马逊网络服务 (AWS) 内的自动安全扫描仪发送网络钓鱼电子邮件,以建立攻击的发射台。
诈骗者已经抓住了人们使用 AWS 服务使用 WordPress 或他们自己的自定义代码构建和托管网页的能力。根据电子邮件安全供应商 Avanan 的说法,他们可以从那里将带有 AWS 名称的网络钓鱼消息发送到公司电子邮件系统中,以通过通常会阻止可疑消息的扫描仪,并为欺骗受害者增加更大的合法性。
在本周的一份报告中,去年被网络安全公司 Check Point 收购的 Avanan 的研究人员概述了一场网络钓鱼活动,该活动使用 AWS 和消息中不寻常的语法结构来绕过扫描仪。
“使用静态允许或阻止列表来确定电子邮件内容是否安全的电子邮件服务无法免受这些攻击,”他们写道。“从本质上讲,这些服务将决定一个网站是否安全。亚马逊网络服务将始终被标记为安全。它太大而且太普遍而无法阻止。”
借助知名品牌进行网络钓鱼活动并不罕见。Avanan 今年记录了利用 QuickBooks、PayPal和Google Docs确保邮件进入收件箱的此类努力。
现在公共云是一种工具,使用 AWS 是有意义的。根据 Synergy Research Group 的数据,它是最大的公共云厂商,拥有全球云基础设施市场三分之一的份额,该市场在第二季度创造了近 550 亿美元的收入。AWS、Microsoft Azure 和 Google Cloud 加起来占据了 65% 的空间。
“出于多种原因,使用公共云的攻击正在成为我的常见做法,部分原因是基础设施是如此短暂,声誉系统无济于事。我们可以阻止防弹托管服务提供商,但我们不能仅仅阻止 AWS,”Netenrich 首席威胁猎手 John Bambenek ,告诉登记册。“这些服务价格便宜,易于使用,并且可以快速启动和关闭服务。公有云通常被列入白名单,因此 IP 声誉不起作用,人们越来越习惯于公有云中的服务,因此他们不会”看起来不可疑。”
Valtix 首席安全研究员戴维斯·麦卡锡 (Davis McCarthy) 表示,这种趋势只会增长。
“随着企业拥抱多种云,网络犯罪分子将有更多的选择和滥用选项,”麦卡锡告诉The Register。“受益于缺乏可见性和脱节的拓扑结构,攻击面将难以识别。组织将需要对跨云的安全性进行标准化,并有能力整合可见性以确保有效实施预防和检测流程。”
Avanan 研究人员写道,网络犯罪分子正在“利用该网站的合法性在 AWS 上创建网络钓鱼页面来窃取凭据”。“通过电子邮件发送指向此页面的链接是绕过扫描仪并让用户交出凭据的一种方式。”
他们指出了一个活动,网络犯罪分子发送了一条在 AWS 上创建和托管的网络钓鱼消息,告诉收件人他们的密码即将过期。该电子邮件带有 Microsoft 徽标,并告诉用户单击一个按钮以保留或更改密码。
据研究人员称,使用 AWS 的名称并不是绕过扫描仪的唯一策略。他们写道,他们还在电子邮件文本中使用不寻常的内容来迷惑扫描仪。打开示例中的消息时,文本与攻击无关。相反,它是用西班牙语写的,翻译时谈到了“地震监测系统”的报价。
当用户点击按钮时,他们会被带到一个虚假的密码重置页面,其中包括受害者公司的域名和填充的大部分字段。只要求用户输入他们的密码。如果这样做了,诈骗者可以窃取凭据。
研究人员写道:“通过一种简单的方式进入收件箱,再加上终端用户的低提升,这种类型的攻击对于黑客来说可能非常成功,”他们补充说,他们将发现的情况通知了亚马逊。
Avanan 研究人员写道,企业用户需要将鼠标悬停在链接上以查看目标 URL,然后再单击它,并查看电子邮件内容,然后再单击它。Lookout 安全解决方案高级经理 Hank Schless 告诉The Register,安全 Web 网关 (SWG) 可以帮助识别网络上的风险行为,这超出了典型扫描仪的功能。如果是更大的云安全平台的一部分,管理员可以实施更多的数据保护工具来识别风险行为,即使它来自合法来源。
Bolster 营销副总裁 Ryan McCurdy 表示,鉴于缺乏运行持续监控的内部技能,自动化也是关键。
“而且,他们没有关系,也没有权限进行下架,比如要求互联网服务提供商下架一个假网站,更不用说访问地下论坛和聊天室了,这些都不是可以获取的。一夜之间,”麦柯迪告诉The Register。“公司采取平台方法并利用自动化来检测、分析和删除网络、社交媒体、应用商店和暗网中的欺诈性网站和内容,这一点至关重要。”
