“网络钓鱼即服务”（？！）平台被微软封杀 飞天诚信：大力普及FIDO

近日，微软采取法律行动，促使法院下令封禁了属于“网络钓鱼即服务”（Phishing-as-a-Service）平台ONNX的240个域名。

微软《2024数字防御报告》显示，ONNX是最大的网络钓鱼服务提供商，仅2024年上半年就发起了数百万次针对Microsoft 365账户的钓鱼邮件攻击。ONNX通过Telegram销售钓鱼工具包，采用订阅服务模式，月费从150美元到550美元不等。该平台提供的钓鱼工具包针对多家科技企业，包括Google、Dropbox、微软等，以及金融机构的员工。ONNX的钓鱼邮件通常包含带有恶意二维码的PDF附件，诱导受害者访问伪造的登录页面，从而窃取其凭据。这种被称为“quiishing”的策略利用了员工个人移动设备往往缺乏网页安全性检测的缺陷（这些设备通常不被纳入企业网络安全体系的保护范围）。

ONNX的钓鱼页面通常利用中间人攻击 (AiTM) 方法窃取敏感凭证。这种方法能够绕过“两步验证”（Google在应用FIDO之前曾经采取这种身份认证机制），可以实时捕获和传输被盗数据而无需频繁发出HTTP消息。这使得钓鱼操作更加高效且隐蔽。ONNX Store 网络钓鱼工具包使用了加密的JavaScript代码，该代码在页面加载时会自动解密，用于收集受害者的IP 地址、地理位置、所使用的浏览器名称等详细信息。解密后的JavaScript甚至还包含了一个简单的反JavaScript调试器。这些都增加了反网络钓鱼扫描器的检测难度。为了进一步提高“网络钓鱼即服务”的弹性，ONNX还使用了Cloudflare的提供的隧道（Tunnel）服务。Cloudflare的隧道服务与SSH类似，允许用户远程访问本地网络数据资源。Cloudflare允许免费试用隧道服务，给包括ONNX在内的威胁行为者提供了“白嫖”的机会。威胁行为者批量注册Cloudflare账号，一次性地试用隧道服务。每次试用，Cloudflare 生成的子网域名都不相同，这意味着威胁行为者能够“打一枪换一个位置”，进一步掩盖自己的真实服务器所在。

通过综合采取上述措施，使得ONNX在较长一段时期内能够有效实施网络钓鱼攻击并逃避网络安全检测。据称，该平台自2017年以来一直为犯罪分子提供服务。巧合的是，2017年，Cloudflare曾被爆出泄露用户HTTPS 网络会话中的加密数据长达数月，一些会话、密码、私人消息、API密钥和其他敏感数据被Cloudflare随机泄露给了访问者（甚至被搜索引擎缓存）。全球超过550万网站的上亿用户受到影响，波及的知名互联网公司包括Uber，Fitbit等。

值得一提的是，作为ONNX商标的拥有者，Linux基金会也参与了微软发起的这次法律行动。这是因为，ONNX也是“Open Neural Network Exchange”（基金会旗下一个神经网络开源项目的名称）的缩写。

FIDO联盟成立于2012年，致力于安全强度更高、使用更方便且更易于部署的身份认证（simpler stronger authentication）。联盟制定了FIDO UAF、FIDO U2F、FIDO2等一系列“无密码”（passwordless）协议，可以防范令企业头疼的网络钓鱼攻击。来自世界各地的数百家技术公司和服务提供商在FIDO联盟和W3C的合作下创建了“无密码”登录标准（WebAuthn），该标准已经被数十亿设备以及Google Chrome、Mozilla Firefox，Microsoft Edge、Apple Safari等现代网络浏览器所支持。除Google之外，FIDO联盟成员还包括微软、苹果、三星、ARM、Intel等等。

飞天诚信于2014年加入FIDO联盟，目前是FIDO联盟董事会成员。飞天诚信构建了丰富的FIDO硬件安全密钥(FIDO Security Key)产品线。使用FEITIAN FIDO Security Key，用户可以通过USB-A、USB-C接口、NFC或BLE接口将FIDO硬件安全密钥连接到电脑或手机，快速、安全地完成账号登录或单点登录。飞天诚信FIDO系列产品现已支持Google、AWS等众多在线服务。