SaaS 应用如何助长网络犯罪

过去十年，软件即服务 (SaaS)的采用呈爆炸式增长，彻底改变了我们的工作方式。

从电子邮件平台到通信和协作应用程序，再到文件存储和共享服务，这些工具有望为我们的日常工作生活带来更大的灵活性和效率，尤其是在当今的远程和混合环境中。

不幸的是，网络犯罪分子也从 SaaS 的繁荣中获益。第三方应用程序的激增为威胁行为者提供了无数方法来利用企业。

根据云安全联盟的一份报告，65% 的公司难以监控和跟踪 SaaS 风险；而且随着越来越多的网络犯罪分子利用 SaaS 进行越来越难以检测的社会工程攻击，这一数字还会增长。

SaaS 社会工程攻击的工作原理

威胁行为者依靠一些久经考验的方法来冒充合法的 SaaS 产品，并进行绕过传统安全工具的复杂社会工程攻击。

文件共享网络钓鱼攻击就是这样一种策略——根据我们的最新报告，这种攻击在 2023 年 6 月至 2024 年 6 月期间增长了 350%。

使用这种方法，网络犯罪分子在Dropbox或 Google Drive等文件共享服务上创建真正的帐户，并触发平台通知，提示目标查看一个看似无害但诱人的文件名称，例如“团队奖金”。

在某些情况下，攻击者会诱骗目标访问他们隐藏了恶意软件的合法文件夹或驱动器。在其他情况下，这些电子邮件包含重定向到恶意软件的真实链接或旨在获取用户凭据的虚假登录页面。

由于这些邮件来自真实的文件共享帐户，带有看似安全的链接且没有恶意附件，因此它们通常会躲过电子邮件监控工具的检查。

我们还发现 SaaS 诈骗者使用供应商电子邮件入侵 (VEC) 网络钓鱼策略冒充 SaaS 供应商，并使用时间压力策略（如密码过期）欺骗员工将其凭据输入网络钓鱼页面。

他们还可能以会计人员为目标，要求支付虚假发票或向新账户进行未来付款。能够渗透 SaaS 组织电子邮件系统的黑客甚至可能劫持现有对话，使他们更不可能引起怀疑。

为什么 SaaS 会成为社会工程攻击的热门目标

SaaS 为组织提供了一种访问和部署软件的简便方法。不幸的是，这些产品对企业的好处也让攻击者实施社会工程计划受益。

以下是 SaaS 产品成为发起攻击的成功工具的一些原因：

准入门槛低

许多 SaaS 产品提供免费试用或“免费增值”定价结构，让用户免费使用基本功能。换句话说，任何拥有网络浏览器和互联网连接的网络犯罪分子都可以建立一个账户，几乎不需要任何前期投资，并立即获得发动隐秘攻击所需的所有基础设施。

免费增值模式尤其有吸引力，因为它们避免了注册订阅计划或账户的需要，因为这可能会暴露攻击者的真实身份。

都在使用 SaaS

与传统的内部部署软件相比，SaaS 工具更具成本效益、更易于使用，并且更易于设置和扩展。在过去十年中，各种规模的企业都转向使用 SaaS 产品，从内部通信和项目管理到工资单、文件共享，甚至安全（讽刺的是）。

由于这些工具如此普遍，因此发动大规模攻击的机会几乎无穷无尽。

信任 SaaS 提供商

员工已经习惯于从他们日常工作中使用的首选 SaaS 产品中接收数十条通知。这意味着员工不太可能对点击链接或打开文件的请求产生怀疑——尤其是当该消息看起来与涌入收件箱的大量合法电子邮件完全相同时。

几乎没有什么可以触发他们的警钟或触发安全电子邮件网关 (SEG) 等传统安全工具。

阻止 SaaS 攻击的方法

SaaS 供应商可以采取多种措施来减少假冒其品牌的现象的发生和影响。

这些措施包括实施强大的域名保护或使用数字证书来验证其真实性、实施可以监控和检测网络上假冒行为的品牌监控工具，或对欺诈性网站和应用程序采取法律手段进行删除。

但是，尽管在签署协议之前严格审查 SaaS 供应商并评估其安全工作很重要，但客户能控制的事情非常有限。组织不应完全依赖供应商的安全实践，而应积极主动地尽职尽责，保护企业免受网络犯罪的侵害。

培养安全文化和对新兴攻击的意识至关重要，它应该继续成为防御的核心支柱。但随着社会工程学变得越来越复杂，安全教育和意识并不是灵丹妙药。

今天，我们经常看到威胁行为者利用生成式人工智能来制作专业、无错误的消息，模仿他们所冒充的个人的语气和风格。再加上他们对 SaaS 工具的熟练使用，意味着攻击几乎不可能被发现。

虽然传统的安全系统可以帮助降低标准网络钓鱼技术的风险，但它们无法检测不断发展的社会工程计划，尤其是当它们从合法的受感染 SaaS 帐户发起时。

要阻止这些攻击，需要先进的检测技术来标记更微妙的恶意活动（隐藏在受感染应用程序的幌子下），而人们和传统安全措施经常会忽略这些恶意活动。

随着网络犯罪手段的演变，我们用来保护自己的技术也必须不断改进。