新手段!網路犯罪分子利用谷歌Docs漏洞傳播網路釣魚連結

隨著網路安全防護手段的提高，網路犯罪分子的攻擊手法也在不斷更新。目前他們採用一種新的網路釣魚攻擊，這種攻擊方式利用谷歌Drive和Docs來繞過網路安全防護檢測。

IT安全研究人員釋出的一份報告顯示，網路威脅分子正在利用谷歌Docs進行一場新的釣魚活動。

釣魚攻擊方式

研究人員解釋了攻擊者是如何編寫一個類似谷歌文件共享頁面的網頁，並將其上傳到Google Drive上。Google Drive會掃描該檔案並自動呈現HTML。然後，透過谷歌 Docs開啟該檔案，攻擊者將獲得帶有渲染影像的最高版本。

然後將生成的連結附加到電子郵件併傳送給受害者，要求他們下載文件。一旦單擊該連結，他們將被重定向到真正的惡意釣魚網站，在那裡他們的證書將透過另一個看起來像 Google登入門戶的網頁被盜。

提醒大家最好不要開啟任何與你共享的谷歌 Docs連結，以防進入某個假裝是谷歌文件的第三方。

網路安全研究人員稱，攻擊者透過在公開的服務中進行攻擊來繞過靜態連結掃描程式。過去曾在MailGun、FlipSnack和Movable Ink等小型服務上看到過這種情況，但這是第一次透過谷歌Drive/Docs等大型服務看到這種情況。Google Docs以這種方式被網路攻擊者使用得非常巧妙，攻擊者最終很有可能繞過許多傳統安全防護產品使用的靜態連結掃描程式。

至於Google Drive，這不是該服務第一次被惡意濫用。此前，惡意軟體和釣魚工具如DarkHydrus也透過谷歌Drive進行傳播。

導致資料洩露、網路攻擊或危害公共關鍵設施的系統漏洞不僅造成的代價是高昂的，而且很有可能導致公司未來的終結。因此軟體及其背後開發過程的完整性和安全性已成為每個企業成功的關鍵組成部分，這也是為什麼越來越提倡DevsecOps。

在DevsecOps開發流程中，透過自動化應用程式安全測試，可以相對輕鬆地透過經濟又省心的方式發現許多已知漏洞和潛在的安全缺陷。應用程式安全測試包括如 靜態程式碼安全檢測 (SAST)、動態應用程式安全測試 (DAST)、開原始碼測試(SCA)、互動式應用程式安全測試 (IAST) 和執行時應用程式自我保護 (RASP)。

研究表明，每1000行開源軟體程式碼就有14個安全缺陷，每1400行開源軟體程式碼中就有1個高危安全缺陷。由此可見，經常被使用的開原始碼若不進行安全檢測就直接被引用到開發中，將為系統帶來很大的安全隱患。根據Coralogix的說法，一個普通開發人員每1,000行程式碼會產生70個錯誤，而修復一個錯誤所需的時間是編寫一行程式碼的30倍， 靜態程式碼安全檢測的重要性不言而喻。

隨著安全左移，在軟體開發全週期中及時引入自動化應用程式安全檢測工具，並透過安全檢測工具中識別出安全漏洞進行及時修正，不僅可以幫助企業確定開發團隊修復工作流程的優先順序，助力敏捷開發，同時也能進一步降低企業、客戶和合作夥伴的應用程式風險。