新手段!網路犯罪分子利用谷歌Docs漏洞傳播網路釣魚連結
隨著網路安全防護手段的提高,網路犯罪分子的攻擊手法也在不斷更新。目前他們採用一種新的網路釣魚攻擊,這種攻擊方式利用谷歌Drive和Docs來繞過網路安全防護檢測。
IT安全研究人員釋出的一份報告顯示,網路威脅分子正在利用谷歌Docs進行一場新的釣魚活動。
釣魚攻擊方式
研究人員解釋了攻擊者是如何編寫一個類似谷歌文件共享頁面的網頁,並將其上傳到Google Drive上。Google Drive會掃描該檔案並自動呈現HTML。然後,透過谷歌 Docs開啟該檔案,攻擊者將獲得帶有渲染影像的最高版本。
然後將生成的連結附加到電子郵件併傳送給受害者,要求他們下載文件。一旦單擊該連結,他們將被重定向到真正的惡意釣魚網站,在那裡他們的證書將透過另一個看起來像 Google登入門戶的網頁被盜。
提醒大家最好不要開啟任何與你共享的谷歌 Docs連結,以防進入某個假裝是谷歌文件的第三方。
網路安全研究人員稱,攻擊者透過在公開的服務中進行攻擊來繞過靜態連結掃描程式。過去曾在MailGun、FlipSnack和Movable Ink等小型服務上看到過這種情況,但這是第一次透過谷歌Drive/Docs等大型服務看到這種情況。Google Docs以這種方式被網路攻擊者使用得非常巧妙,攻擊者最終很有可能繞過許多傳統安全防護產品使用的靜態連結掃描程式。
至於Google Drive,這不是該服務第一次被惡意濫用。此前,惡意軟體和釣魚工具如DarkHydrus也透過谷歌Drive進行傳播。
導致資料洩露、網路攻擊或危害公共關鍵設施的系統漏洞不僅造成的代價是高昂的,而且很有可能導致公司未來的終結。因此軟體及其背後開發過程的完整性和安全性已成為每個企業成功的關鍵組成部分,這也是為什麼越來越提倡DevsecOps。
在DevsecOps開發流程中,透過自動化應用程式安全測試,可以相對輕鬆地透過經濟又省心的方式發現許多已知漏洞和潛在的安全缺陷。應用程式安全測試包括如 靜態程式碼安全檢測 (SAST)、動態應用程式安全測試 (DAST)、開原始碼測試(SCA)、互動式應用程式安全測試 (IAST) 和執行時應用程式自我保護 (RASP)。
研究表明,每1000行開源軟體程式碼就有14個安全缺陷,每1400行開源軟體程式碼中就有1個高危安全缺陷。由此可見,經常被使用的開原始碼若不進行安全檢測就直接被引用到開發中,將為系統帶來很大的安全隱患。根據Coralogix的說法,一個普通開發人員每1,000行程式碼會產生70個錯誤,而修復一個錯誤所需的時間是編寫一行程式碼的30倍, 靜態程式碼安全檢測的重要性不言而喻。
隨著安全左移,在軟體開發全週期中及時引入自動化應用程式安全檢測工具,並透過安全檢測工具中識別出安全漏洞進行及時修正,不僅可以幫助企業確定開發團隊修復工作流程的優先順序,助力敏捷開發,同時也能進一步降低企業、客戶和合作夥伴的應用程式風險。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2778819/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 釣魚篇-網路釣魚
- 威脅情報:網路犯罪分子利用IPFS進行網路釣魚和惡意軟體活動
- 網路釣魚攻擊常見手段及防範措施!
- 網路釣魚攻擊
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 加快修補!網路犯罪分子仍在利用這些舊漏洞
- 谷歌帳戶獲得新的驗證功能 以防止網路釣魚攻擊谷歌
- 透過.PAC進行網路釣魚
- Proofpoint:2024年網路釣魚報告
- 網路黑產作惡手段花式翻新,熱門網遊慘遭釣魚木馬“碰瓷”
- 網路犯罪分子瞄準關鍵的IBM檔案傳輸漏洞IBM
- 網路釣魚 你知道如何識別嗎?
- 網路釣魚,你要怎麼防範
- 卡巴斯基:2020年網路釣魚報告
- 網路釣魚冒充航運巨頭傳播惡意軟體、Linux檔案系統出現下溢漏洞|1月23日全球網路安全熱點Linux
- 安全公司揭露in-session網路釣魚新手法Session
- FBI針對HTTPS網路釣魚釋出警告HTTP
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 2019 年網際網路安全報告:黑客釣魚有新招黑客
- 抖音國際版成為網路釣魚詐騙新目標
- Trustwave:駭客正在利用人工智慧改進網路釣魚攻擊方式Rust人工智慧
- 一文學會如何識別網路釣魚
- 網路釣魚攻擊常用方法及防禦措施!
- 網路釣魚各式套路盤點,你中招了嗎?
- 網路釣魚鋪天蓋地,防不防,如何防?
- 2019 年網際網路安全報告:駭客釣魚有新招
- 什麼是魚叉式網路釣魚?常見的方式有哪些?
- 什麼是欺騙性網路釣魚?如何防禦?
- 常見網路釣魚攻擊有哪些?如何識別?
- 使用Outlook欺騙性雲附件進行網路釣魚
- 卡巴斯基:2021年Q3 網路釣魚報告
- XSS漏洞釣魚
- 谷歌警告稱,超過35000個Java包受 Log4j 漏洞影響;Microsoft Teams 允許網路釣魚漏洞,至今未被修復谷歌JavaROS
- 攻擊者利用新的“NativeZone”後門進行網路釣魚,涉及24個國家3000個賬戶
- 關注重要的Azure網路釣魚攻擊及對策
- 網路釣魚攻擊常用方法是什麼?如何防護?
- 【滲透測試分享】網路釣魚有哪些注意事項?
- 惡意軟體偽裝成PDF傳播、新冠病毒變種成釣魚攻擊誘餌|12月3日全球網路安全熱點