研究人员表示,谷歌最近用于窃取微软登录凭证的在线钓鱼活动Firebase绕过微软Office 365电子邮件安全措施攻击。
Armorblox研究人员发现,至少有2万个邮箱收到了恶意攻击邮件,主要分享电子资金转移(EFT)付款信息。这些钓鱼邮件的主题栏很短,只有"TRANSFER OF PAYMENT NOTICE FOR INVOICE"从云中下载 "发票 "的链接。
点击链接浏览器开始一系列重定向操作,最终将用户引导到微软Office logo研究人员发现该页托管在谷歌Firebase上面。这个页面是一个钓鱼页面,可以很容易地获取重要的个人信息,如微软用户登录密码、二地址和 *** 号码。
攻击者可以利用这些信息接管账户并窃取个人信息,也可以利用这些信息进行其他攻击。
据Armorblox 说:"由于所有工作账户都是紧密联系的,账户的凭证被窃取是非常危险的,因为 *** 犯罪分子会以你的名义发送电子邮件来欺骗你的客户,合作伙伴和家庭成员"。
对微软Office 365攻击过程
电子邮件中的链接将允许用户下载一个名称 "付款通知-PDF "文件。它将引导用户到登录页面,研究人员说,页面右上角有一个 "下载 "按钮。当鼠标悬挂在链接上时,页面显示文件托管在谷歌Firebase上。Firebase是定制的Web以及移动应用程序的开发环境。
Armorblox研究员Rajat Upadhyaya在博客中解释说:"文件名下载的发票PDF,但实际上是一个HTML打开这个文件HTML文件将加载一个带Office 365 logo的iframe。页面将显示缩略图和链接查看发票。"
点击缩略图或 "查看文件 "链接会进入到最后的钓鱼页面中,页面要求受害者用他们的微软凭证进行登录,并要求他们提供备用的电子邮件地址或 *** 号码。这是犯罪分子在尝试收集更多的数据,这样可以绕过双因素认证(2FA)或账户恢复机制。
输入帐户信息后,登录页面将重新加载错误信息,要求用户输入正确的帐户信息。
Upadhyaya说:"这可能是因为网站有一些后端验证机制,可以检查输入信息的真实性。另一种情况是,攻击者可能会试图通过这种方式获得尽可能多的电子邮件地址和密码,无论输入是否正确,错误的信息总是会出现。"
绕过本地电子邮件安全策略
攻击更大的特点是采用了大量的技术手段来避免电子邮件安全防御系统。
研究人员指出:"这种电子邮件攻击绕过了原来的微软电子邮件安全控制系统,微软分配给这封邮件的垃圾邮件的可信度(SCL)这意味着微软并没有将这封邮件判定为可疑邮件,而是将其发送到终端用户邮箱。"
首先,页面的重定向过程非常复杂,这有助于电子邮件逃离系统的安全检测,Upadhyaya指出绕过页面安全防御系统的常见策略。
他说:"点击电子邮件链接后,它将通过重定向跳转到父域名mystuff.bublup.com页面上。’’
有趣的是,由于Firebase它将是一个可信的域名HTML谷歌的钓鱼页托管在谷歌Firebase上面,电子邮件可以包括在内Exchange在线保护(EOP)和Office 365的Microsoft Defender 在内的windows内置微软安全过滤器。
研究人员说:"托管在‘Firebase’在这样一个著名的平台上web该网站欺骗受害者,很容易绕过电子邮件安全检查技术,让受害者认为点击链接可以找到缩略图中显示的发票。"
Firebase在之前的攻击中已经被使用了很多次。例如,谷歌去年发生了一系列的使用Firebase *** 犯罪分子利用谷歌云基础设施的信任欺骗受害者,并利用合法的电子邮件 *** 对系统进行安全监督。
最后,这些邮件绕过了大型电子邮件系统的认证系统和反欺诈系统。
Upadhyaya说:"这封邮件是SendGrid从个人Gmail账户发出的电子邮件成功通过SPF、DKIM和DMARC等认证检查。"
DMARC(Domain-based Message Authentication,Reporting & Conformance)它被认为是电子邮件认证行业的标准,以防止攻击者以伪造的地址发送电子邮件。它将在电子邮件到达预定目标地点之前验证发件人的身份,并验证发件人的域是否假装。
如何防止电子邮件威胁
Armorblox表示,为了更好地保护员工免受钓鱼电子邮件的攻击,公司应该对员工进行培训,让他们检查与金钱和数据有关的电子邮件,包括检查邮件发件人姓名、发件人电子邮件地址、电子邮件的内容以及电子邮件内的任何逻辑不一致的地方(例如,一个所谓的PDF文件有一个HTML扩展名)。
其他防御措施包括实施2FA密码管理方案的实施和实施。
本文翻译自:https://threatpost.com/microsoft-office-365-attacks-google-firebase/163666/如果转载,请注明原始地址。