【跳出框框】黑客新招濫用Google AMP加速技術 7月攻擊數量暴升17倍

    黑客又有新招數,反網絡釣魚安全公司 Cofense 研究人員發現,在剛過去的七月濫用 Google Accelerated Mobile Pages(AMP)功能的釣魚攻擊有暴升趨勢,由於使用了 Google 的 URL,所以可以繞過電子郵件安全措施的攔截政策,更容易讓企業員工接觸得到,好難對付。

    Google AMP 是甚麼?

    要了解這次黑客採用的手段,首先要知道 Google AMP 的來龍去脈。原來 AMP 是 Google 與 30 個合作夥伴共同開發的開源 HTML 框架,目標是加速移動設備讀取網頁的速度。網站管理員只要使用 AMP,就有機會優先被 Google 顯示在搜尋結果上。而要為網站安裝 AMP 也不難,以很多人使用的 WordPress 為例,便有不少外掛程式幫助網站管理員安裝 AMP,所以黑客要使用亦沒甚麼難度。

    以往 Google 會在有使用 AMP 的網站旁邊用閃電符號標示,不過在 2021 年已悄悄消失。用 AMP 有好有壞,如果純粹計算網站讀入速度,AMP 的確可提升網站的速度,變相提高 SEO 評級,但壞處是網站顯示內容會被簡化,有研究顯示網民的跳出率亦會相對上升,所以未必對網站的搜索排名有好大幫助。

    電郵加入 AMP 化網址 攔截難度高

    不過,AMP 對黑客來說就有好處,因為使用 AMP 後,網站的網址會加上 google.com/amp/s/ 域名在最前面,而憑著 Google 域名的可信度,當黑客在電郵內加入被 AMP 化的惡意網址後,電郵安全工具會傾向放行而不會攔截,令釣魚電郵可以直達員工的信箱。研究員指在七月開始使用這種方法的釣魚電郵數量大增,相較六月首兩星期,數量大升約 17 倍,而當中有 77% 使用了 google.com,其餘 23% 則使用了 google.co.uk。

    除了使用 AMP 方法掩飾惡意網站,研究員說黑客還同步利用其他手段去提升成功率,例如黑客使用了插入圖像的 HTML 顯示方式取代純文字、採用 Microsoft 及 Google 雙重域名跳轉方式,以及加入 Cloudflare的 CAPTCHA 機械人辨識服務,每一步都旨在利用這些有信譽的服務去提升可信度,減低安全掃描器偵測到可疑內容的機會。

    研究員更指出,安全管理員要攔截這類釣魚電郵的難度甚高,因為不少合法網站也會使用 AMP 服務,因此管理員無法隨便在攔截規則中加入 Google AMP 字串,否則將會一刀切連同其他合法電郵也被攔截下來,嚴重影響日常運作。現時企業最有效攔截這類釣魚電郵的方法之一,便是盡快加強員工的安全意識,讓他們明白到不可以完全倚賴網絡安全工具。

    資料來源:https://www.bleepingcomputer.com/news/security/threat-actors-abuse-google-amp-for-evasive-phishing-attacks/

    相關文章:【Google Play】兩「隱型」App偷取資料送中國 安裝量逾150萬次

    #Cofense #GoogleAMP #HTML #釣魚攻擊

    相關文章