安全研究人员警告说,犯罪集团正在采用一种新的网络钓鱼攻击方式——它可能使威胁行为者几乎无法检测到。该技术涉及使用“反向隧道”服务和URL缩短器来发起大规模网络钓鱼攻击。更重要的是,使用这些技术的团体没有留下任何痕迹。相反,威胁参与者可以使用他们的本地计算机在随机URL上托管网络钓鱼页面。这些可以帮助规避URL扫描服务的检测。然后,这些组可以使用URL缩短服务进一步掩盖他们的身份。
攻击者没有利用技术意义上的漏洞。相反,他们滥用现成的合法服务来绕过反网络钓鱼措施。与该技术相关的服务包括 bit.ly、Ngrok和Cloudflare的Argo Tunnel。
CloudSEK的安全研究人员检测到该攻击,他们发现该方法被用于针对印度银行的客户。
在这里,网络钓鱼攻击试图欺骗客户交出他们的银行详细信息、Aadhaar(印度国民身份)号码和其他敏感信息。
CloudSEK的首席威胁研究员Darshit Ashara说:“我们在监控互联网以查找与客户相关的资产、假冒和数据时发现了它。”
“在我们的常规研究过程中,我们开始注意到这种滥用多个反向隧道服务的模式。”
尽管CloudSEK检测到针对印度银行客户的网络钓鱼尝试,但该技术也已在美国、英国和欧洲使用。
“如今,反向隧道攻击已变得相当普遍,”Ashara补充道。“攻击者使用反向隧道的作案手法包括发送基于SMS的垃圾邮件,并使用流行的URL缩短服务缩短网络钓鱼URL。
“我们观察到这种技术被用于针对大多数主要品牌和组织。”
反向隧道和URL缩短攻击图例
反向隧道使犯罪集团能够规避一些最有效的对策。
捕获网络钓鱼组的一种方法是通过他们对托管服务提供商的依赖,以及他们使用的域,CloudSEK说,“冒充目标公司或关键字”。
即使没有足够的证据让执法部门去追捕网络钓鱼组,托管服务提供商也会取消这些欺骗性域名。
使用带有“随机或通用”关键字的域为攻击者提供了一些保护,因为他们无法报告品牌侵权。但网络犯罪分子能够使用反向隧道完全绕过托管,方法是将网络钓鱼二进制文件存储在本地PC上。
在顶部添加URL缩短使追踪攻击变得更加困难,并且可能使受害者更有可能落入骗局。除此之外,大多数反向隧道URL都是临时的——通常只运行24小时——而且归属和起诉变得更加困难。
CloudSEK呼吁改进对反向隧道服务的监控。例如,Ngrok现在要求其用户公开其IP地址,并在托管HTML内容之前进行注册,而 Cloudflare 则要求用户创建一个帐户。
URL 缩短更难监管,因为没有实际的恶意活动:它们只是将用户指向一个网站。不过,CloudSEK 承认,发现攻击取决于第三方监控。
因此,目标公司可能不得不依靠用户教育来应对这种攻击媒介。
“实际上,这是网络钓鱼攻击的另一个渠道——关键区别在于归因,”数字风险管理咨询公司 Protection Group International的网络运营主管Chris Preece说。
“如果一个域名是在托管服务提供商那里注册的,他们可以回应投诉并关闭一个网站,但是对于反向隧道,反向隧道提供商对此不承担任何责任,这意味着它可能更难被删除。将其与 URL 缩短器结合使用,会非常有效。
“这听起来有些陈词滥调,但我们的建议是加强网络钓鱼意识,以减少有人点击恶意链接的可能性。”
评论已关闭。