IT之家 10 月 9 日消息,微软警告称,合法的云托管服务(例如 SharePoint、OneDrive 和 Dropbox)被组织广泛用于存储、共享和协作处理文件,但现在有一种新的网络钓鱼活动正在滥用这类云端文件托管服务中的不同隐私设置,从而绕过安全解决方案并窃取登录凭据、部署恶意软件等。
据微软介绍,攻击者首先会想办法盗取一个人的云盘账户,例如可以通过黑市购买一个被盗账户,或直接从其他地方获取登录凭据(IT之家提醒:务必保护好自己的 Cookie 登录凭证,发现异常请及时修改密码)。
然后,他们会利用这些凭据将一个文档上传到这些服务之一,通常是一个假的 Microsoft 365 登录页面,不仅用于窃取人们的凭据,还用于抓取 MFA 代码和一次性密码。亦或者,该文件可以包含指向恶意网站的链接,然后受害者可能就会被骗到密码等登录凭据,或者将恶意软件下载到他们的设备上。
微软表示,基于云的文件托管服务本身是支持扫描恶意链接和文件的,但根据文档的隐私设置,其云端安全解决方案可能无法扫描到这类恶意文档。
微软解释说:为了绕过电子邮件安全系统的分析,他们会将这些网络钓鱼攻击中共享的文件设置为‘只读’模式并禁用下载功能,从而避免安全系统检测到文件中嵌入的 URL。又或者,黑客会将直接访问权限限制为“仅限指定收件人”,从而达到相同的结果。
“通过网络钓鱼电子邮件发送的文件被配置为仅指定的收件人访问,这要求收件人登录到文件共享服务 —— 无论是 Dropbox、OneDrive 还是 SharePoint—— 或通过输入他们的电子邮件地址和通过通知服务收到的验证码(OTP)重新进行身份验证。”
更可恶的是,攻击者并不会以传统的网络钓鱼方式分发这些文件,因为当他其向特定账户授予访问权限时,云服务官方会向这些账户所有者发送电子邮件通知。因此,受害者只会收到一封来自官方的电子邮件,进一步提高合法性伪装程度。