近日，安全研究人員揭露了一系列利用亞馬遜 S3、谷歌云存儲(chǔ)、Backblaze B2 和 IBM 云對(duì)象存儲(chǔ)等云存儲(chǔ)服務(wù)的犯罪活動(dòng)。這些活動(dòng)由未具名的威脅行為者發(fā)起，目的是將用戶重定向到惡意網(wǎng)站，利用短信竊取他們的信息。

根據(jù) Enea 今天發(fā)表的一篇技術(shù)文章，攻擊者有兩個(gè)主要目標(biāo)：

• 威脅行為者要確保詐騙短信能在不被網(wǎng)絡(luò)防火墻檢測(cè)到的情況下發(fā)送到手機(jī)上。
• 威脅行為者試圖讓終端用戶相信他們收到的短信或鏈接是可信的。

威脅行為者利用云存儲(chǔ)平臺(tái)托管帶有嵌入式垃圾郵件 URL 的靜態(tài)網(wǎng)站，使其信息看起來(lái)合法，并避開常見的安全措施。

云存儲(chǔ)服務(wù)允許企業(yè)存儲(chǔ)和管理文件，并通過(guò)在存儲(chǔ)桶中存儲(chǔ)網(wǎng)站資產(chǎn)來(lái)托管靜態(tài)網(wǎng)站，威脅行為者利用這一功能，將垃圾郵件 URL 嵌入存儲(chǔ)在這些平臺(tái)上的靜態(tài)網(wǎng)站中。

他們通過(guò)短信分發(fā)鏈接到這些云存儲(chǔ)網(wǎng)站的 URL，由于知名云域被認(rèn)為是合法的，這些 URL 通常可以繞過(guò)防火墻限制。用戶一旦點(diǎn)擊這些鏈接，就會(huì)在不知情的情況下被重定向到惡意網(wǎng)站。

例如，谷歌云存儲(chǔ)域名 “storage.googleapis.com” 就被攻擊者用來(lái)創(chuàng)建鏈接到垃圾網(wǎng)站的 URL。托管在谷歌云存儲(chǔ)桶中的靜態(tài)網(wǎng)頁(yè)采用了 HTML 元刷新技術(shù)，可立即將用戶重定向到詐騙網(wǎng)站。威脅行為者利用這種方法誘騙用戶訪問(wèn)欺詐網(wǎng)站，這些網(wǎng)站通常會(huì)模仿禮品卡促銷等合法優(yōu)惠活動(dòng)，以竊取用戶的個(gè)人信息和財(cái)務(wù)信息。

Enea 還觀察到亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）和 IBM 云等其他云存儲(chǔ)服務(wù)也采用了類似的策略，即通過(guò)短信中的 URL 進(jìn)入托管垃圾郵件的靜態(tài)網(wǎng)站。

為防范此類威脅，Enea 建議監(jiān)控流量行為、檢查 URL 并警惕包含鏈接的意外消息。

參考來(lái)源：https://www.infosecurity-magazine.com/news/cloud-storage-exploited-sms/