微软试图让旗下Azure云托管服务与Amazon S3展开竞争,但是总有些人会钻空子并拿它来做“好事”。虽说有点遗憾,但事实是,这项服务确实可以被人拿来利用——尽管微软做的一切都是“正确的”。根据最近的安全性研究,这是当前正在发生的事情。
Netcraft会定期扫描网络,以寻找黑客、漏洞和欺诈行为。而根据该公司披露的一份新的报告——微软的“慷慨”,使得Azure被人“错误地利用了”!
出现这一情况的原因,是多方面的。首先,因为Azure可以免费试用!安全研究人员Robert Duncan表示:
为了让钓鱼网站可以在Azure上顺利驻扎,欺诈者有几种选择——窃取一个微软账户、侵入Azure上运行的某台虚拟机、或者借助微软的“免费试用”政策。
如此一来,骗子可以获得免费的SSL证书,而恶意站点旗下托管的所有子域名,也都可以通过HTTPS的“伪装”,干着表里不一的事情。
其次,相关联的电子邮件服务也可以拿来利用。欺诈者还会借助微软提供的免费的电子邮件地址(live.com、hotmail.com、以及outlook.com等),用以接收和存储“钓鱼”得来的各种凭证。
而对于欺诈者来说,这一切根本没有任何的损失——因为只需要电话和信用卡号码就行了。鉴于银行信息可能会是窃取得来的,因此其所等级的电话号码,就成了追索的决定性因素。
当然,但愿这种情况只是个案。