黑客在利用谷歌Firebase对微软Office365进行攻击

研究人员表示，最近一个目的在于窃取微软登录凭证的网络钓鱼活动正在使用谷歌Firebase绕过微软Office 365的电子邮件安全措施来实施攻击。

Armorblox的研究人员发现，至少已经有2万个邮箱收到了恶意攻击邮件，这些邮件内容主要是分享电子资金转移(EFT)支付的信息。这些钓鱼邮件的主题栏写的非常简短，只有"TRANSFEROFPAYMENT NOTICE FOR INVOICE"的字样，还含有一个从云端下载 "发票 "的链接。

点击该链接浏览器就开始了一系列的重定向操作，最终将用户引导到了一个带有微软Officelogo的页面，研究人员发现该页面托管在谷歌的Firebase上。那个页面是一个钓鱼页面，这样可以很容易的获取微软用户的登录密码、二级邮箱地址和电话号码等重要的个人信息。

攻击者可以利用这些信息来接管账户并窃取个人信息，同时他们也可能会利用这些信息进行其他方面的攻击。

据Armorblox说："由于所有工作账户都是紧密联系的，账户的凭证被窃取是非常危险的，因为网络犯罪分子会以你的名义发送电子邮件来欺骗你的客户，合作伙伴和家庭成员"。

对微软Office 365的攻击流程

邮件中的链接会让用户下载一个名为 "付款通知-PDF "的文件。它会将用户引导到一个登陆页面，研究人员表示，该页面的右上方有一个"下载"按钮。当鼠标悬停在链接上时，页面显示该文件托管在谷歌的Firebase上。Firebase是一个用于定制Web和移动应用程序的开发环境。

Armorblox研究员RajatUpadhyaya周四在博客中解释道:"下载的'发票'的文件名中可能有PDF，但它实际上是一个HTML文件，打开这个HTML文件会加载一个带有Office365logo的iframe。该页面会显示一个缩略图和一个查看发票的链接。"

点击缩略图或"查看文件"链接会进入到最后的钓鱼页面中，页面要求受害者用他们的微软凭证进行登录，并要求他们提供备用的电子邮件地址或电话号码。这是犯罪分子在尝试收集更多的数据，这样可以绕过双因素认证(2FA)或账户恢复机制。

在输入了账号信息之后，登录页面会重新加载一个错误信息，要求用户输入正确的账号信息。

Upadhyaya说："这可能是网站存在一些后端验证机制，会检查输入的信息的真实性。另一种情况是，攻击者可能在尝试用这种方式来获得尽可能多的电子邮件地址和密码，无论输入的正确与否，都会一直出现错误信息。"

绕过本地电子邮件安全策略

此次攻击活动最大的特点是采用了大量的技术手段避开了电子邮件安全防御系统。

研究人员指出："这种电子邮件攻击绕过了原生的微软电子邮件安全控制系统，微软给这封邮件分配的垃圾邮件可信度(SCL)为'1'，这意味着微软没有将这封邮件判定为可疑邮件，反而将其投递到了终端用户邮箱中。"

首先，页面的重定向的流程很复杂，这有助于邮件逃过系统的安全检测，Upadhyaya指出，这种方式是绕过页面安全防御系统的常见策略。

他说："点击邮件链接后会经过一个重定向，并跳转到了一个父域名为'mystuff.bublup.com'的页面上。’’

有趣的是，由于Firebase是一个可信的域名，将HTML钓鱼页面托管在谷歌的Firebase上，电子邮件就可以通过包括Exchange在线保护(EOP)和Office365的MicrosoftDefender 在内的windows内置的微软安全过滤器。

研究人员说："托管在‘Firebase’这样有名的平台上的web网站会欺骗受害者，也很容易绕过电子邮件安全检查技术，让受害者以为点击链接就能找到缩略图中显示的发票。"

Firebase在之前的攻击中已经被利用过很多次了。例如，去年发生了一系列的使用谷歌Firebase托管钓鱼网站进行攻击的活动，这表明网络犯罪分子在利用谷歌云基础设施的信任度来欺骗受害者，并利用合法的电子邮件网关绕过系统的安全监察。

最后，这些邮件还绕过了大规模电子邮件系统的认证系统和反欺骗系统。

Upadhyaya说："这封邮件是SendGrid从个人Gmail账户发出的，这使得电子邮件成功地通过了SPF、DKIM和DMARC等认证检查。"

DMARC(Domain-based Message Authentication，Reporting&Conformance)被认为是电子邮件认证行业的标准，用以防止攻击者用伪造的地址发送电子邮件。它会在邮件到达预定的目标地点之前验证发件人的身份，并验证发件人的域是否被冒充。

如何防止电子邮件威胁

Armorblox表示，为了更好地保护员工免受钓鱼电子邮件的攻击，公司应该对员工进行培训，让他们检查与金钱和数据有关的电子邮件，包括检查邮件发件人姓名、发件人电子邮件地址、电子邮件的内容以及电子邮件内的任何逻辑不一致的地方(例如，一个所谓的PDF文件有一个HTML扩展名)。

其他防御措施包括实施2FA方式和实施密码管理方案。