通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

黑客滥用 Google AMP 进行规避性网络钓鱼攻击

1690944178_64c9c2b202ad2d7d2338e.png!small?1690944179424

近日,有安全研究人员警告称,有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施,进入企业员工的收件箱。

谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源HTML框架,旨在加快网页内容在移动设备上的加载速度。

AMP 网页托管在谷歌的服务器上,内容经过简化,并预先加载了一些较重的媒体元素,以加快交付速度。

在钓鱼邮件中嵌入谷歌 AMP URL 的目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。

AMP URL 会触发重定向到恶意钓鱼网站,这个步骤还额外增加了一个干扰分析的层。

1690945322_64c9c72a91fedd104542d.png!small?1690945323259

谷歌AMP重定向到钓鱼网站,图源:Cofense

反钓鱼保护公司 Cofense 的数据显示,使用 AMP 的网络钓鱼攻击数量在 7 月中旬大幅飙升,这表明威胁行为者可能正在采用这种方法进行一些行动。

1690945418_64c9c78a8470cf660025d.png!small?1690945419010

利用谷歌 AMP 实现隐身的钓鱼电子邮件,图源:Cofense

Cofense在报告中解释说:在目前观察到的所有谷歌AMP URL中,约77%托管在google.com域名上,23%托管在google.co.uk域名上。

虽然 “google.com/amp/s/”路径在所有情况下都很常见,但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过,如果遇到了就直接打上标记,这可能是最合适的做法,至少可以提醒收件人警惕潜在的恶意重定向。

额外的隐蔽性

Cofense 称,滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术,这些技术共同帮助他们躲避检测并提高成功率。

例如,在 Cofense 观察到的许多案例中,威胁行为者使用基于图片的 HTML 电子邮件,而不是传统的文本正文。这样做的目的是混淆文本扫描仪,使其无法在邮件内容中查找常见的网络钓鱼术语。

1690946056_64c9ca08e514eaca5c9a9.png!small?1690946057553

基于图像的网络钓鱼电子邮件,图源:Cofense

在另一个案例中,攻击者使用了一个额外的重定向步骤,通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域,并最终将其带到真正的钓鱼网站。

1690946196_64c9ca947a4809422c416.png!small?1690946197210

攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析,从而阻止爬网程序访问这些网页。

总之,如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了,因为他们采用了多种规避检测的方法。

参考来源:Threat actors abuse Google AMP for evasive phishing attacks (bleepingcomputer.com)

文章来自:https://www.freebuf.com/

相关文章