使用Azure Blob存储服务来仿冒微软进行的钓鱼攻击

尽管网络钓鱼攻击非常隐蔽，但是用户还是能注意到登录表单是否是安全的，或者SSL证书是否被模拟了。新的Office 365网络钓鱼攻击利用一种有趣的方法来存储Azure Blob存储上托管的网络钓鱼表单，以便通过Microsoft SSL证书进行保护。

Azure Blob存储是一种Microsoft存储解决方案，可用于存储非结构化数据，如图像，视频或文本。Azure Blob存储的一个优点是可以使用HTTP和HTTPS访问，并且在通过HTTPS连接时，将显示来自Microsoft的签名SSL证书。

通过在Azure Blob存储中存储网络钓鱼表单。显示的表单将由Microsoft的SSL证书签名，这也使其成为了创建针对Microsoft服务（如Office 365，Azure AD或其他Microsoft登录）的网络钓鱼表单的理想方法。

网络钓鱼攻击使用Azure blob存储来模拟Microsoft托管网络钓鱼表单，是Netskope最近发现的一种攻击云端的类型。在这次攻击中，攻击者正在发送带有PDF附件的垃圾邮件，这些附件会伪装成来自丹佛的一家律师事务所的邮件。

这些伪造的附件通常会被命名为“Scanned Document ... Please Review.pdf”，且只包含一个下载按钮，用于下载假冒的PDF。

当用户单击此链接时，他们将被重定向到一个HTML页面，伪装成是存储在Microsoft Azure Blob存储解决方案中的Office 365登录表单。请注意URL https://onedriveunbound80343.blob.core.windows.net是如何将它伪造成一个blob的。由于此页面也托管在Microsoft服务上，因此它也可以成为安全的SSL站点。

对于那些对奇怪的URL持怀疑态度的用户来说，如果他们觉得证书有问题想要检查一下，就会看到这个页面是由Microsoft IT TLS CA 5颁发的SSL证书签署的。

由于这是一个伪造的Office 365登录，并且该站点使用Microsoft SSL证书进行保护，因此许多人可能都误认为这是合法的登录表单。

一旦用户在这些表单中输入他们的信息，表单将把这些内容提交给攻击者控制的服务器。

提交表单后，页面将伪造成要准备下载文档的样子，但最终却将用户重定向到https://products.office.com/en-us/sharepoint/collaboration Microsoft站点。

由于URL非常奇怪，许多有经验的用户可能不会因此而受到攻击，但普通用户就不一定了，因为该页面使用了Microsoft的证书，因此很多人认为它是安全的。

为了更好的保护用户免受这些不断演变的钓鱼类型的威胁，Netskope建议用户要识别非标准的网页地址。用户应该识别AWS，Azure和GCP对象存储网址，这样他们就可以从官方网站上识别网络钓鱼网站了。