黑客滥用 Google AMP 进行规避性网络钓鱼攻击

近日 ，黑客有安全研究人员警告称 ，滥用有越来越多的行规网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的避性收件箱 。

谷歌AMP是网络由谷歌和30个合作伙伴共同开发的一个开源HTML框架，旨在加快网页内容在移动设备上的钓鱼加载速度 
。

AMP 网页托管在谷歌的攻击服务器上
，内容经过简化  ，源码下载黑客并预先加载了一些较重的滥用媒体元素，以加快交付速度  。行规

在钓鱼邮件中嵌入谷歌 AMP URL 的避性目的是确保电子邮件防护技术不会因为谷歌的良好声誉而将邮件标记为恶意或可疑邮件。

AMP URL 会触发重定向到恶意钓鱼网站，网络这个步骤还额外增加了一个干扰分析的钓鱼层。

谷歌AMP重定向到钓鱼网站

反钓鱼保护公司 Cofense 的攻击数据显示，服务器租用使用 AMP 的黑客网络钓鱼攻击数量在 7 月中旬大幅飙升，这表明威胁行为者可能正在采用这种方法进行一些行动。

利用谷歌 AMP 实现隐身的钓鱼电子邮件

Cofense在报告中解释说
：在目前观察到的所有谷歌AMP URL中，约77%托管在google.com域名上，23%托管在google.co.uk域名上 。

虽然 "google.com/amp/s/"路径在所有情况下都很常见
，但阻止这种路径也会影响所有使用 Google AMP 的合法情况。不过，如果遇到了就直接打上标记，源码库这可能是最合适的做法，至少可以提醒收件人警惕潜在的恶意重定向。

Cofense 称 ，滥用 Google AMP 服务的网络钓鱼行为者还采用了一系列额外的技术，这些技术共同帮助他们躲避检测并提高成功率。

例如，在 Cofense 观察到的香港云服务器许多案例中
，威胁行为者使用基于图片的 HTML 电子邮件，而不是传统的文本正文。这样做的目的是混淆文本扫描仪
，使其无法在邮件内容中查找常见的网络钓鱼术语 。

基于图像的云计算网络钓鱼电子邮件

在另一个案例中，攻击者使用了一个额外的重定向步骤 ，通过滥用 Microsoft.com URL 将受害者带到一个 Google AMP 域，并最终将其带到真正的钓鱼网站 。

攻击者利用 Cloudflare 的 CAPTCHA 服务来阻止安全机器人对网络钓鱼网页进行自动分析，从而阻止爬网程序访问这些网页。

总之，如今安全工具想要捕捉并阻止网络钓鱼行为者越来越难了，因为他们采用了多种规避检测的方法
。高防服务器