最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 黑客在利用谷歌Firebase对微软Office365进行攻击

    研究人员表示,最近一个目的在于窃取微软登录凭证的网络钓鱼活动正在使用谷歌Firebase绕过微软Office 365的电子邮件安全措施来实施攻击。

    Armorblox的研究人员发现,至少已经有2万个邮箱收到了恶意攻击邮件,这些邮件内容主要是分享电子资金转移(EFT)支付的信息。这些钓鱼邮件的主题栏写的非常简短,只有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"的字样,还含有一个从云端下载 "发票 "的链接。

    点击该链接浏览器就开始了一系列的重定向操作,最终将用户引导到了一个带有微软Office logo的页面,研究人员发现该页面托管在谷歌的Firebase上。那个页面是一个钓鱼页面,这样可以很容易的获取微软用户的登录密码、二级邮箱地址和电话号码等重要的个人信息。

    攻击者可以利用这些信息来接管账户并窃取个人信息,同时他们也可能会利用这些信息进行其他方面的攻击。

    据Armorblox 说:"由于所有工作账户都是紧密联系的,账户的凭证被窃取是非常危险的,因为网络犯罪分子会以你的名义发送电子邮件来欺骗你的客户,合作伙伴和家庭成员"。

    对微软Office 365的攻击流程

    邮件中的链接会让用户下载一个名为 "付款通知-PDF "的文件。它会将用户引导到一个登陆页面,研究人员表示,该页面的右上方有一个 "下载 "按钮。当鼠标悬停在链接上时,页面显示该文件托管在谷歌的Firebase上。Firebase是一个用于定制Web和移动应用程序的开发环境。

    Armorblox研究员Rajat Upadhyaya周四在博客中解释道:"下载的\'发票\'的文件名中可能有PDF,但它实际上是一个HTML文件,打开这个HTML文件会加载一个带有Office 365 logo的iframe。该页面会显示一个缩略图和一个查看发票的链接。"

    点击缩略图或 "查看文件 "链接会进入到最后的钓鱼页面中,页面要求受害者用他们的微软凭证进行登录,并要求他们提供备用的电子邮件地址或电话号码。这是犯罪分子在尝试收集更多的数据,这样可以绕过双因素认证(2FA)或账户恢复机制。

    在输入了账号信息之后,登录页面会重新加载一个错误信息,要求用户输入正确的账号信息。

    Upadhyaya说:"这可能是网站存在一些后端验证机制,会检查输入的信息的真实性。另一种情况是,攻击者可能在尝试用这种方式来获得尽可能多的电子邮件地址和密码,无论输入的正确与否,都会一直出现错误信息。"

    绕过本地电子邮件安全策略

    此次攻击活动最大的特点是采用了大量的技术手段避开了电子邮件安全防御系统。

    研究人员指出:"这种电子邮件攻击绕过了原生的微软电子邮件安全控制系统,微软给这封邮件分配的垃圾邮件可信度(SCL)为\'1\',这意味着微软没有将这封邮件判定为可疑邮件,反而将其投递到了终端用户邮箱中。"

    首先,页面的重定向的流程很复杂,这有助于邮件逃过系统的安全检测,Upadhyaya指出,这种方式是绕过页面安全防御系统的常见策略。

    他说:"点击邮件链接后会经过一个重定向,并跳转到了一个父域名为\'mystuff.bublup.com\'的页面上。’’

    有趣的是,由于Firebase是一个可信的域名,将HTML钓鱼页面托管在谷歌的Firebase上,电子邮件就可以通过包括Exchange在线保护(EOP)和Office 365的Microsoft Defender 在内的windows内置的微软安全过滤器。

    研究人员说:"托管在‘Firebase’这样有名的平台上的web网站会欺骗受害者,也很容易绕过电子邮件安全检查技术,让受害者以为点击链接就能找到缩略图中显示的发票。"

    Firebase在之前的攻击中已经被利用过很多次了。例如,去年发生了一系列的使用谷歌Firebase托管钓鱼网站进行攻击的活动,这表明网络犯罪分子在利用谷歌云基础设施的信任度来欺骗受害者,并利用合法的电子邮件网关绕过系统的安全监察。

    最后,这些邮件还绕过了大规模电子邮件系统的认证系统和反欺骗系统。

    Upadhyaya说:"这封邮件是SendGrid从个人Gmail账户发出的,这使得电子邮件成功地通过了SPF、DKIM和DMARC等认证检查。"

    DMARC(Domain-based Message Authentication,Reporting & Conformance)被认为是电子邮件认证行业的标准,用以防止攻击者用伪造的地址发送电子邮件。它会在邮件到达预定的目标地点之前验证发件人的身份,并验证发件人的域是否被冒充。

    如何防止电子邮件威胁

    Armorblox表示,为了更好地保护员工免受钓鱼电子邮件的攻击,公司应该对员工进行培训,让他们检查与金钱和数据有关的电子邮件,包括检查邮件发件人姓名、发件人电子邮件地址、电子邮件的内容以及电子邮件内的任何逻辑不一致的地方(例如,一个所谓的PDF文件有一个HTML扩展名)。

    其他防御措施包括实施2FA方式和实施密码管理方案。

    本文翻译自:https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/如若转载,请注明原文地址。

    【编辑推荐】

    1. 为什么你总是学不会Python,入门Python的4大陷阱
    2. 厌倦了默认系统字体?这是在Windows 10上进行更改的方法
    3. 5G手机热销之前,要先解决这些问题
    4. 手把手教你用Python爬取百度搜索结果并保存
    5. 揭秘登上2021春晚舞台的黑科技-XR技术
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 黑客在利用谷歌Firebase对微软Office365进行攻击

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 937会员总数(位)
    • 39841资源总数(个)
    • 57本周发布(个)
    • 3 今日发布(个)
    • 330稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情