IT之家 10 月 9 日消息,微軟警告稱,合法的雲託管服務(例如 SharePoint、OneDrive 和 Dropbox)被組織廣泛用於存儲、共享和協作處理文件,但現在有一種新的網絡釣魚活動正在濫用這類雲端文件託管服務中的不同隱私設置,從而繞過安全解決方案並竊取登錄憑據、部署惡意軟體等。
據微軟介紹,攻擊者首先會想辦法盜取一個人的雲盤帳戶,例如可以通過黑市購買一個被盜帳戶,或直接從其他地方獲取登錄憑據(IT之家提醒:務必保護好自己的Cookie登錄憑證,發現異常請及時修改密碼)。
然後,他們會利用這些憑據將一個文檔上傳到這些服務之一,通常是一個假的 Microsoft 365 登錄頁面,不僅用於竊取人們的憑據,還用於抓取 MFA 代碼和一次性密碼。亦或者,該文件可以包含指向惡意網站的連結,然後受害者可能就會被騙到密碼等登錄憑據,或者將惡意軟體下載到他們的設備上。
微軟表示,基於雲的文件託管服務本身是支持掃描惡意連結和文件的,但根據文檔的隱私設置,其雲端安全解決方案可能無法掃描到這類惡意文檔。
微軟解釋說:為了繞過電子郵件安全系統的分析,他們會將這些網絡釣魚攻擊中共享的文件設置為『只讀』模式並禁用下載功能,從而避免安全系統檢測到文件中嵌入的 URL。又或者,黑客會將直接訪問權限限制為「僅限指定收件人」,從而達到相同的結果。
「通過網絡釣魚電子郵件發送的文件被配置為僅指定的收件人訪問,這要求收件人登錄到文件共享服務 —— 無論是 Dropbox、OneDrive 還是 SharePoint—— 或通過輸入他們的電子郵件地址和通過通知服務收到的驗證碼(OTP)重新進行身份驗證。」
更可惡的是,攻擊者並不會以傳統的網絡釣魚方式分發這些文件,因為當他其向特定帳戶授予訪問權限時,雲服務官方會向這些帳戶所有者發送電子郵件通知。因此,受害者只會收到一封來自官方的電子郵件,進一步提高合法性偽裝程度。