低成本网络钓鱼攻击大规模增长,警惕网络钓鱼即服务(PaaS)

近日,SonicWall的威胁检测专家 Immanuel Chavoya谈到了网络钓鱼即服务(PaaS),包括它可能给组织带来的风险,以及如何应对这种威胁。

近日,SonicWall的威胁检测专家 Immanuel Chavoya谈到了网络钓鱼即服务(PaaS),包括它可能给组织带来的风险,以及如何应对这种威胁。

01

PaaS已成为对组织日益增长的威胁。这种趋势究竟是如何产生的?

网络钓鱼攻击随着SaaS的兴起而增加,即使是最精通安全的工作人员也可能被诱骗进行网络钓鱼攻击。 

网络钓鱼即服务(PaaS)是一种新现象,这种趋势是网络犯罪分子通过扮演服务提供商的角色,为他人而不是为自己进行攻击以获取利益。PaaS的出现意味着黑客变得更有组织、更商业化,并寻求从勒索软件中获得更大的收益。 

攻击者不需要具备构建或接管基础设施以托管网络钓鱼工具包(模拟各种登录页面)的技术知识,而是引入PaaS,显著降低了进入门槛 

去年,犯罪分子发起的大规模SaaS活动BulletProofLink被微软曝光,发现了超过 300,000个新创建的独特子域。交钥匙平台允许用户自定义活动并创建自己的网络钓鱼策略,为他们提供了 100 多个复制已知品牌和服务指南、工具包、托管和其他工具的网络钓鱼模板。 

02

PaaS如何简化网络犯罪分子的工作?

它导致任何受到技术技能限制的攻击者都能够以每天不到15美元的价格开始针对目标组织的网络钓鱼活动。

所以在过去,进入的门槛稍高,但并不多。那时,攻击者必须执行许多步骤,例如购买网络钓鱼工具包、设置基础设施、获取电子邮件列表、向电子邮件列表发送带有凭据收集器(或恶意软件释放器)链接的垃圾邮件,以及收集凭据。这也可以用于后续攻击(或作为IAB出售)PaaS允许参与者以每月400美元的小额交易费完成大部分工作。

03

当涉及PaaS时,组织最应该担心什么?

疫情后劳动力大规模分布,扩大了企业的安全范围。这为网络犯罪分子开展一系列攻击创造了有利条件,其中最常见的是网络钓鱼。

最近一项针对企业最大网络问题的调查将网络钓鱼攻击排在首位,发现了几个网络钓鱼活动,旨在欺骗忙碌或分心的员工。启用并又停用多因素身份验证(MFA) 的组织可能会在新的PaaS活动中涉及风险,因为攻击者已开始正式化。

然而,技能较低的攻击者可以购买网络钓鱼服务,例如EvilProxy,并使用反向代理绕过 MFA控制,从通过恶意代理网络钓鱼站点连接的用户那里获取有效cookie。这样,攻击者就可以绕过使用用户名/密码或MFA令牌进行身份验证的需要。 

04

组织如何应对这种威胁?

PaaS可能非常先进,其功能涵盖从检测沙箱环境到对用户代理进行指纹识别以确定您是否可能是研究人员机器人。话虽如此,Web内容过滤器通常可以限制用户的曝光。例如,如果您的电子邮件安全解决方案没有检测到PaaS威胁,而您的用户点击了一个链接,如果您有一个纵深防御方法,您可能有一个Web内容过滤器能够监控应用程序和DNS流量。这限制了对“新注册”域或具有不良否认的域的访问,有助于对 PaaS 进行分层防御。

05

它如何影响企业以及他们可以做些什么来保护自己?

随着云平台取代安装在设备上的程序,双因素身份验证已成为企业身份访问管理的常见方式。这就是网络钓鱼可以蓬勃发展的地方。网络钓鱼诈骗依赖于日常重复登录过程中形成的肌肉记忆来窃取凭证。

去年观察到的许多HTML网络钓鱼诈骗都是围绕启动登录表单展开的,该表单预先填写了工作人员的电子邮件地址。所有人必定会做的就是毫不犹豫地输入密码,让网络犯罪分子进入。然后,攻击者将密码发送到恶意软件托管的远程服务器,用户被重定向到合法网站。

塞讯安全度量验证平台能够模拟包含恶意链接或恶意附件的钓鱼邮件等一系列网络欺诈攻击行为,为企业提供安全有效的防御体系效果验证服务。

您可以在塞讯安全度量验证平台中轻松选择那些包含恶意链接或恶意附件的钓鱼邮件的验证实验,指定AI攻防机器人发送这些邮件给企业邮件系统中指定的邮件地址,用于验证您企业的邮件安全产品是否有能力检测出这些钓鱼邮件并将其隔离或删除。

| 参考来源:
https://www.helpnetsecurity.com/2022/10/11/paas-risks/