根據(jù)Palo Alto Networks Unit 42的一份調(diào)查報(bào)告，研究人員發(fā)現(xiàn)，攻擊者濫用合法軟件即服務(wù) (SaaS) 平臺(tái)創(chuàng)建釣魚(yú)網(wǎng)站的行為正在激增，數(shù)據(jù)顯示，從 2021 年 6 月到 2022 年 6 月，這種濫用行為大幅增加了 1100%。

SaaS為網(wǎng)絡(luò)釣魚(yú)行為提供了一些便利，包括規(guī)避電子郵件安全系統(tǒng)的檢測(cè)、享受高可用性以及無(wú)需學(xué)習(xí)編寫(xiě)代碼來(lái)創(chuàng)建看似合法的網(wǎng)站。此外，由于 SaaS 平臺(tái)簡(jiǎn)化了創(chuàng)建新站點(diǎn)的過(guò)程，攻擊者可以輕松切換到不同的主題、擴(kuò)大或多樣化其運(yùn)營(yíng)。

Unit 42 將被濫用的平臺(tái)分為六類(lèi)：文件共享、調(diào)查表單器、網(wǎng)站生成器、筆記和文檔編寫(xiě)平臺(tái)以及個(gè)人檔案。Palo Alto Networks 記錄了所有類(lèi)別的濫用增長(zhǎng)。

按類(lèi)別分類(lèi)的 SaaS 平臺(tái)濫用增長(zhǎng)情況

Unit 42 報(bào)告解釋說(shuō)，多數(shù)情況下，攻擊者直接在被濫用的服務(wù)上托管他們的憑證竊取頁(yè)面，而在一些特定情況下，托管在被濫用服務(wù)上的登錄頁(yè)面本身并不包含憑證竊取表單，相反，攻擊者通過(guò)一個(gè)重定向步驟將受害者帶到另一個(gè)站點(diǎn)。

釣魚(yú)網(wǎng)站可以托管在一個(gè)不回應(yīng)刪除請(qǐng)求的防彈主機(jī)服務(wù)提供商（BPH）上，因此，釣魚(yú)行為者遵循這種做法，在犧牲轉(zhuǎn)化率的同時(shí)增加活動(dòng)的正常運(yùn)行時(shí)間。如果最終的憑證竊取頁(yè)面被刪除，攻擊者可以簡(jiǎn)單地更改鏈接并指向新的憑證竊取頁(yè)面，保證釣魚(yú)行為的持續(xù)性。

研究認(rèn)為，阻止對(duì)合法 SaaS 平臺(tái)的濫用非常困難，這也是 SaaS如此適合網(wǎng)絡(luò)釣魚(yú)活動(dòng)的原因所在。對(duì)于用戶而言，還是要牢記在被要求輸入賬戶憑證時(shí)確保網(wǎng)站 URL 的正規(guī)性。