安全研究人员透露，Box、Zoom 和 Google Docs 未能验证所谓的“虚 URL”中的子域，为增强其网络钓鱼活动创造了一种强大的方法。攻击技术绕过电子邮件过滤器并提高网络钓鱼链接的可信度。

可以自定义虚 URL 以包含品牌名称和对链接用途的描述（例如，brandname/registernow），并且通常重定向到更长的通用 URL。

被软件即服务 (SaaS) 应用程序广泛使用的虚 URL 用于共享或请求文件、邀请用户注册活动等。

Box、Zoom 和 Google Docs 中发现的漏洞使攻击者能够滥用明显的保证虚荣 URL 为收件人提供他们正在与合法组织而不是网络犯罪分子打交道。

Varonis Threat Labs 的研究人员发现，SaaS 应用程序验证了虚 URL 的 URI（链接末尾的唯一字符序列），而不是其描述性子域（URI 之前的部分）。

“因此，威胁参与者可以使用他们自己的 SaaS 帐户来生成指向似乎由贵公司认可的 SaaS 帐户托管的恶意内容（文件、文件夹、登录页面、表单等）的链接，”一篇发布的博客文章中写道由 Varonis 威胁实验室提供。

“实现这一点就像更改链接中的子域一样简单。”

根据 Varonis 首席营销官 Rob Sobers 的说法，如本视频所示，这种攻击技术将大大提高网络钓鱼或恶意软件分发活动的成功率。

“它可以产生巨大的影响，因为欺骗链接对于电子邮件过滤器和 CASB（云访问安全代理）等安全技术来说似乎是合法的，”Sobers 告诉The Daily Swig。

“他们通常会阻止伪造或拼写错误的 URL（如 apple-support.zoom.us）。在这种情况下，由于我们正在欺骗真实 URL，因此这些类型的技术无法自动过滤或将 URL 标记为恶意 URL。”

Sobers 继续说：“此外，精明的用户通常可以在浏览器中加载虚假 URL 时发现细微的差异——例如无效的安全证书或拼写错误的子域。通过这种滥用，URL 和证书是完全有效的。”

由于三个最广泛使用的 SaaS 应用程序包含相同的缺陷，“其他 SaaS 应用程序很可能存在类似问题”，Sobers 警告说。

流行的云内容管理应用程序 Box 修复了影响文件共享的虚 URL 和用于请求文件和相关信息的公共表单的缺陷。

攻击者能够为恶意文件添加密码保护并上传目标品牌的徽标并重新创建其配色方案，从而加剧了文件共享问题，而公共表单上没有品牌标识使受害者更难发现设计缺陷.

Zoom 的一位发言人告诉The Daily Swig，它已经“通过警告用户是否被重定向到不同的子域”来解决会议记录和网络研讨会注册页面可能滥用虚荣 URL。

然而，鉴于“用户经常点击非关键警告消息”，Varonis 敦促用户“在访问品牌 Zoom 链接时要小心”。
攻击者还可以将请求敏感机密数据的 Google 表单标记为 yourcompanydomain.docs.google.com/forms/d/e/:form_id/viewform。

“该表格可能需要使用来自您公司域的电子邮件进行注册，使其看起来更值得信赖，”Varonis 说。

通过“发布到网络”功能交换的 Google Doc 文档同样容易受到攻击。

据 Varonis 称，谷歌尚未推出修复程序。