ENEA

通信与网络信息安全服务厂商Enea的研究人员指出，近期出现一系列利用公有云存储服务作为中介、嵌入网址并自动跳转的短信钓鱼攻击。包括AWS S3、Google Cloud Storage、IBM Cloud Storage、Blackblaze B2等公有云对象存储服务，都可被用于这类攻击，由于攻击使用的网址，是嵌入在这些具备良好公信力的公有云服务网址内，因而难以通过一般的防火墙侦测与阻挡。

Enea研究人员指出，这种攻击是通过公有云存储服务托管的静态网站来发起，公有云对象存储服务的存储桶（bucket），除了可以让用户存放一般文件外，也能存放网站的HTML文件等资源，然后将这些文件设置为网站，从而构成托管于公有云存储服务下的网站，这种方法适用于不需要服务器端或产生动态内容的静态网站。

而这种静态网站托管云端平台的方式，也给攻击者找到可以绕过防火墙侦测的手段。可以将静态网站的HTML文件代码中，嵌入通过Refresh标记指令跳转的网址，然后再将静态网站的网址以短信发送给用户。由于这些静态网站的网址是包含在AWS、Google、IBM这些有公信力的公有云服务商网址中，看起来像是真实、正常的网站，因而可避开防火墙的侦测。然而当用户点击了这些静态网站后，这些网站将会通过内嵌的Refresh指令，自动重新导向到攻击者默认的恶意网站上。

Enea举了以Google Cloud Storage存储服务发起攻击的范例。Google Cloud Storage使用「storage.googleapis.com」作为其网址，当攻击者在Google Cloud Storage创建名为「dfa-b」的存储桶，并存入名为「dfmc.html」的静态网站，所以这个网站呈现给其他用户的网址，便会是「storage.googleapis.com/ dfa-b/dfmc.html」，看起来像是一个正常的网站。

但dfmc.html网页中，嵌有「<meta http-equiv=”refresh” content=”0; URL=http://r.everydaywinner.com/?a=2049&c=234&s1=g8ys&s2=&email=” />」的自动更新声明指令，可将浏览器在0秒内自动重新导向到攻击者默认的钓鱼网站，诱使用户泄漏信息。

Enea研究人员观察到，利用这种攻击手法的攻击者，不仅使用了Google Cloud Storage，还使用了AWS、IBM Cloud与Blackblaze B2等公有云对象存储服务，并使用类似的自动Refresh方式，将用户重新导向到钓鱼网站。

Enea表示，这些攻击者的网站，是嵌在公有云服务商的合法网域内，因而一般的URL扫描技术，难以侦测与阻挡这类攻击。必须从其他面向，来发现攻击者的意图。Enea建议监控流量行为、检查URL并警惕包含链接的意外消息。

例如在多数情况下，这种指向公有云存储平台的网址，通常是用于与认识的人分享文件或照片，而不会被导向到其他消息的网站，如果点击之后，被链接到某些网站，那么就很可能是钓鱼网站，借此可以判别恶意企图。