基于API的攻击新趋势凸显了加强意识培训的必要性媒体

关键要点

在最近的研究中，微软 Teams 被发现存在新方式被攻击的风险，其中一些漏洞通过未记录的 API 调用实现，这凸显了对更全面的安全意识培训的需求。根据 Proofpoint 在 5 月 17 日的博文，研究人员 David Krispin 和 Ellion Bendet 指出，这些新技术包括利用会议邀请，将默认 URL 替换为恶意链接，或通过替换现有 URL 来进行钓鱼。

白鲸加速器官网入口

攻击者还利用账户被入侵和冒充技术，例如使用标签钓鱼用户或诱导他们下载恶意软件。通过使用未记录的 Teams API 调用，攻击者可以重排序和重命名标签，使原本的标签被新的自定义标签所替换。

攻击者可以利用这种“表面上无害”的功能，通过使用一个名为“Website”的本地应用，将选定的网站固定为 Teams 频道或聊天顶部的标签。一旦他们将一个“Website”实例固定为标签，攻击者就可以操控该标签的名称，改为其他已存在标签的名称，并重新调整其位置。

这种做法使攻击者能够将原有的标签推至视野之外，从而增加用户点击欺诈标签的机会，而该标签可能指向一个恶意网站，伪装成 Microsoft 365 登录页面来窃取凭证。

“虽然浏览器安全最佳实践教育用户要仔细检查诸如 URL 栏这样的关键指示，并避免点击可疑链接，但在这种情况下，所有这些指示都无效，因为 Teams 并未提供明显的 URL 栏。” Krispin 和 Bendet 表示。“因此，毫无防备的受害者不太可能注意到他们访问的网页实际上是恶意的。”

随着行业向 API 优先设计的转变，这些接口几乎深入现代网络和移动应用程序的各个方面，成为其基础功能的一部分。Salt Security 的首席技术官 Nick Rago 表示，商业逻辑缺陷，例如在 Microsoft Teams 标签功能中发现的问题，往往被忽视并难以排查，因此成为攻击者的首选目标。

“这一事件进一步强调了组织需要运行时洞察来持续监控其 API。” Rago 说。“运行时可见性能够对异常行为发出警报，从而使组织能够快速发现新威胁，更有效地抵御攻击。”

Horizon3ai 的首席安全专家 Stephen Gates 表示，API 通常是软件生命周期中未知风险链条中最薄弱的一环。开发者往往不完全了解与 API 相关的风险，因为它们的性质通常与其他类型编程不同，而随着基于云的微服务的增长，API 的使用也迅速增加。

Gates 还提到：“更糟的是，影子 API 无人知晓的 API 和僵尸 API 尚未被弃用的 API 常常为知名应用程序提供入口。这些 API 通常未被追踪，没人关注，如果它们被利用，几乎无人能发现。”

Zimperium 的安全架构师 Georgia Weidman 补充道，组织往往将安全意识培训和钓鱼模拟以及防护局限于电子邮件。然而，在现实中，攻击者利用各种机制进行钓鱼攻击。由于缺乏培训和意识，移动向量如短信和近场通信，社交媒体平台如 Facebook 和 Twitter，以及企业协作套件如 Microsoft Teams 和 Zoom 都成为钓鱼攻击成功的温床。