黑客滥用 Google AMP 进行规避性网络钓鱼攻击

近日，有安全研究人员警告称，有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的收件箱。

谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源HTML框架，旨在加快网页内容在移动设备上的加载速度。

AMP 网页托管在谷歌的服务器上，内容经过简化，并预先加载了一些较重的媒体元素，以加快交付速度。

在钓鱼邮件中嵌入谷歌 AMP URL 的目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。

AMP URL 会触发重定向到恶意钓鱼网站，这个步骤还额外增加了一个干扰分析的层。

谷歌AMP重定向到钓鱼网站，图源：Cofense

反钓鱼保护公司 Cofense 的数据显示，使用 AMP 的网络钓鱼攻击数量在 7 月中旬大幅飙升，这表明威胁行为者可能正在采用这种方法进行一些行动。

利用谷歌 AMP 实现隐身的钓鱼电子邮件，图源：Cofense

Cofense在报告中解释说：在目前观察到的所有谷歌AMP URL中，约77%托管在google.com域名上，23%托管在google.co.uk域名上。

虽然 "google.com/amp/s/"路径在所有情况下都很常见，但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过，如果遇到了就直接打上标记，这可能是最合适的做法，至少可以提醒收件人警惕潜在的恶意重定向。

额外的隐蔽性

Cofense 称，滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术，这些技术共同帮助他们躲避检测并提高成功率。

例如，在 Cofense 观察到的许多案例中，威胁行为者使用基于图片的 HTML 电子邮件，而不是传统的文本正文。这样做的目的是混淆文本扫描仪，使其无法在邮件内容中查找常见的网络钓鱼术语。

基于图像的网络钓鱼电子邮件，图源：Cofense

在另一个案例中，攻击者使用了一个额外的重定向步骤，通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域，并最终将其带到真正的钓鱼网站。

攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析，从而阻止爬网程序访问这些网页。

总之，如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了，因为他们采用了多种规避检测的方法。