安全研究人员警告说，犯罪集团正在采用一种新的网络钓鱼攻击方式——它可能使威胁行为者几乎无法检测到。该技术涉及使用“反向隧道”服务和URL缩短器来发起大规模网络钓鱼攻击。更重要的是，使用这些技术的团体没有留下任何痕迹。相反，威胁参与者可以使用他们的本地计算机在随机URL上托管网络钓鱼页面。这些可以帮助规避URL扫描服务的检测。然后，这些组可以使用URL缩短服务进一步掩盖他们的身份。

攻击者没有利用技术意义上的漏洞。相反，他们滥用现成的合法服务来绕过反网络钓鱼措施。与该技术相关的服务包括 bit.ly、Ngrok和Cloudflare的Argo Tunnel。

CloudSEK的安全研究人员检测到该攻击，他们发现该方法被用于针对印度银行的客户。

在这里，网络钓鱼攻击试图欺骗客户交出他们的银行详细信息、Aadhaar（印度国民身份）号码和其他敏感信息。

CloudSEK的首席威胁研究员Darshit Ashara说：“我们在监控互联网以查找与客户相关的资产、假冒和数据时发现了它。”

“在我们的常规研究过程中，我们开始注意到这种滥用多个反向隧道服务的模式。”

尽管CloudSEK检测到针对印度银行客户的网络钓鱼尝试，但该技术也已在美国、英国和欧洲使用。

“如今，反向隧道攻击已变得相当普遍，”Ashara补充道。“攻击者使用反向隧道的作案手法包括发送基于SMS的垃圾邮件，并使用流行的URL缩短服务缩短网络钓鱼URL。

“我们观察到这种技术被用于针对大多数主要品牌和组织。”

反向隧道和URL缩短攻击图例

反向隧道使犯罪集团能够规避一些最有效的对策。

捕获网络钓鱼组的一种方法是通过他们对托管服务提供商的依赖，以及他们使用的域，CloudSEK说，“冒充目标公司或关键字”。

即使没有足够的证据让执法部门去追捕网络钓鱼组，托管服务提供商也会取消这些欺骗性域名。

使用带有“随机或通用”关键字的域为攻击者提供了一些保护，因为他们无法报告品牌侵权。但网络犯罪分子能够使用反向隧道完全绕过托管，方法是将网络钓鱼二进制文件存储在本地PC上。

在顶部添加URL缩短使追踪攻击变得更加困难，并且可能使受害者更有可能落入骗局。除此之外，大多数反向隧道URL都是临时的——通常只运行24小时——而且归属和起诉变得更加困难。

CloudSEK呼吁改进对反向隧道服务的监控。例如，Ngrok现在要求其用户公开其IP地址，并在托管HTML内容之前进行注册，而 Cloudflare 则要求用户创建一个帐户。

URL 缩短更难监管，因为没有实际的恶意活动：它们只是将用户指向一个网站。不过，CloudSEK 承认，发现攻击取决于第三方监控。

因此，目标公司可能不得不依靠用户教育来应对这种攻击媒介。

“实际上，这是网络钓鱼攻击的另一个渠道——关键区别在于归因，”数字风险管理咨询公司 Protection Group International的网络运营主管Chris Preece说。

“如果一个域名是在托管服务提供商那里注册的，他们可以回应投诉并关闭一个网站，但是对于反向隧道，反向隧道提供商对此不承担任何责任，这意味着它可能更难被删除。将其与 URL 缩短器结合使用，会非常有效。

“这听起来有些陈词滥调，但我们的建议是加强网络钓鱼意识，以减少有人点击恶意链接的可能性。”