網絡犯罪份子正利用AI驅動的應用程式創作工具Bubble,部置網路應用程式,目標是企業憑證,而且有多個釣魚服務平台採用,幾乎可以肯定,這些誘餌將會出現在各種攻擊之中。
為甚麼使用Bubble?
單憑電郵連結帶到釣魚網站可能注定失敗,因為訊息很大機會無法送抵目的地,保安過濾會事先攔截,使用自動重新導引對現代保安方案而言是重大威脅,QR code的話受害者使用電話掃瞄時,很可能拒絕輸入公司憑證,這時自動化程式碼生成服務就成為了救世主。Bubble定位為無程式碼平台,用作開發網頁和流動應程式,用戶通過視像介面描述需求,平台生成最終的解決方案。犯罪份子利用這技術製作網絡應用程式,然後內嵌在釣魚電郵,這些應用程式的實際功能其實還是自動重新定向到惡意網站,當中還是有點分別。
首先,結果的網絡應用程式直接在平台的伺服器託管,網址看起來像https://%name%.bubble.io,保安方案會視之為合法的網站。其次是網絡應用程式的程式碼與傳統導引不同,生成的程式碼是一量JavaScript和隔離的Shadow DOM結構,即使是專家也難以一眼看穿,需要深入研究才能理解其運作原理,自動化的網頁程式碼分析演算法更易出錯,經常誤判為功能全面的網站。
真正的目標
現代的網絡釣魚很少從零開始開發,大部份都使用釣魚工具包,這些工具包為詐騙活動提供DIY平台,又或者是全方位的網絡釣魚服務平台,為攻擊者提供一套複雜的工具包,可以不斷開發改進發送的電郵,以繞過反釣魚防禦,而且這些平台通常託管在完全合法的服務上,例如AWS,令他們的策略更難被發現。個案中的終點網頁會收集登入憑證,通過託管在Bubble的應用程式導引用戶到一個能完成Cloudflare核實檢查的偽裝Microsoft登入視窗,唯一的漏洞是攻擊者似乎忘記了Skype已經終止服務。
防範精密釣魚攻擊
在現今的數碼世代,僱員需要清楚明白公司的憑證只應該在屬於公司的服務或網站,所以透過培訓提升團隊的資安意識最為重要,當然,最謹慎的員工也有可能中計,所以工作台需要配備可靠的保安方案,阻止訪問惡意網站,配合先進的防釣魚技術的保安方案,在電郵伺服器內阻止釣魚電郵接觸僱員。
資料來源:Kaspersky Blog
