新的Office 365网络钓鱼攻击利用一种特别的方法来存储Azure Blob存储上托管的网络钓鱼表单，以便通过Microsoft SSL证书实施保护。 [出自:jiwo.org]

Azure Blob存储是一种Microsoft存储解决方案，可用于存储非结构化数据，如图像、视频或文本。Azure Blob存储的一个优点是可以使用HTTP和HTTPS访问，并且在通过HTTPS连接时，将显示来自Microsoft的签名SSL证书。通过在Azure Blob存储中存储网络钓鱼表单，显示的表单将由Microsoft的SSL证书签名。这使其成为创建针对Microsoft服务（如Office 365，Azure AD或其他Microsoft登录）的网络钓鱼表单的理想方法。

网络钓鱼攻击使用Azure blob存储来模拟Microsoft

使用Azure Blob存储来托管钓鱼表单正是最近发现的攻击云安全提供商Netskope的类型。在这次攻击中，一些不法分子发送带有PDF附件的垃圾邮件，这些附件被伪装成丹佛的一家律师事务所的文件，文件名显示“扫描文件…，请审查”，还附上了“贴心”的下载按钮。

当用户单击此链接时，他们将被带到一个HTML页面，表面上看是存储在Microsoft Azure Blob存储解决方案中的Office 365登录表单。注意，URL https://onedriveunbound80343.blob.core.windows.net如何表明它是一个blob。由于这个页面也是在Microsoft服务上托管的，所以它同样享有安全SSL站点的“信誉”。

如果用户对URL心存质疑，选择查看证书，他们将会看到由Microsoft IT TLS CA 5颁发的SSL证书签名。

尽管这是一个假登录页面，但该站点使用了Microsoft SSL证书进行安全保护，许多人可能会因此相信这是一个合法的登录表单。一旦用户输入信息，表单就会将内容提交给攻击者操控的服务器。提交表单后，页面将假装准备好文档以供下载，最终却将用户重定向到https://products.office.com/en-us/sharepoint/collaboration Microsoft站点。

虽然更有经验的用户可能不会因为伪装度高的URL而轻信攻击，但多数普通用户仍然容易上钩，在他们的概念中，使用来自微软的证书便意味着安全。

为了更好地保护用户免受这些不断演变的威胁，Netskope建议公司正确地教育用户识别非标准的网页地址。“企业应该普及如何识别AWS，Azure和GCP对象存储网址，这样他们就可以从官方网站上识别网络钓鱼网站。”