警惕！新型钓鱼攻击利用 Google 广告窃取 Onfido 用户信息

一场新的网络钓鱼活动出现了，它并非通过收件箱来骗取信任，而是借助 Google 广告。Push 的安全研究人员发现了一场恶意广告活动，其目标瞄准了 Onfido 的用户。Onfido 是一个在金融科技、人力资源以及受监管行业中广泛使用的数字身份验证平台。攻击者使用了一条具有欺骗性的 Google 搜索广告，引诱受害者点击一个虚假的 Onfido 登录页面，该页面所在的域看起来十分正规：dashboard [.] onfido [.] us [.] com。

一旦用户点击，这个恶意链接会导向一个克隆的 Onfido 页面，其看起来足够可信，足以骗过受害者。不过，Push 基于浏览器的检测系统立即标记了这个网址。这个虚假的登录页面是通过 Evilginx（一种中间人网络钓鱼框架）来提供服务的，该框架会代理合法页面，以窃取会话令牌和用户凭证。

有趣的是，这个网络钓鱼页面被配置为仅在通过 Google 广告推荐访问时才会正常显示。直接访问同一个域名会将用户重定向到合法 Onfido 域名的 404 页面 —— 这是一种逃避检测的策略，目的是躲避安全爬虫的检查。Onfido 并不像 Microsoft 或 Google 那样是典型的网络钓鱼目标。但这恰恰是关键所在。

随着围绕主要平台的网络钓鱼防御措施日益加强，攻击者正将注意力转移到那些监控较少的软件即服务（SaaS）工具上，这些工具往往缺乏诸如密钥支持或强大身份验证策略等功能。

这次攻击是恶意广告的一个典型案例 —— 利用付费搜索结果来推送恶意链接。Google 广告并不像电子邮件网关那样依赖相同的信誉和域名历史检查，这为攻击者提供了一个全新的渠道来发起网络钓鱼尝试。所使用的虚假域名是 us [.] com—— 这并非一个合法的美国政府顶级域名，而是一个域名转售服务，它允许子域名冒充受信任的品牌。这种域名便宜且易于注册，普通用户很难将其与真正的.us 域名区分开来。尽管 Evilginx 最初是作为红队工具被开发出来的，但如今它在现实中的网络钓鱼活动中被越来越多地使用。它的优势在于其灵活性 —— 几乎可以代理任何登录页面，且无需大量定制的 JavaScript 代码，这降低了它被安全工具检测到的可能性。

即便你的电子邮件没有问题，你的搜索栏也可能是最薄弱的环节。正如 Push 所说：“像恶意广告这种绕过电子邮件的网络钓鱼攻击非常有吸引力”，因为它们完全避开了防御措施。

（来源：安全客）