大大小小的组织都在向云端转移，尽管云技术的应用可以带来明显的优势，但在安全性方面也存在挑战。在这个云安全系列的第一篇文章中，我们概述了这些挑战并解释了这些挑战背后的风险尚未得到妥善解决。

在本系列的第二部分中，我们将从攻击者和受害者的角度阐述如何以及为什么会发生账户接管。

一、获取信任

要成功进行帐户接管，攻击者必须首先获得受害者的信任。网络钓鱼攻击是从不知情的用户盗取登录凭据的最常见方法。

例如，通过发送令人信服的询问其登录信息的电子邮件，邮件可能会提醒他们剩余空间不足，并发出诱惑性用语“点击此处获得更多空间”，受害者被骗相信此恶意邮件确实来自Microsoft，Google或Facebook。

假‘Office 365’钓鱼邮件示例

点击链接并在出现提示时输入登录凭据后，毫无防备的受害者也可能会在他的移动设备收到推送的短信通知。这主要使网络钓鱼骗局更加真实，受害者已经信任了最初的攻击来源，就可能按照指示去执行。当然，由于受害者不知不觉地向攻击者提供这些敏感的登录细节，攻击者利用它们访问受害者的Office365帐户，从而获取存储在其中的私人和机密信息。

假Office 365界面示例

二、当前的解决方案

当然，有一些解决方案可以防止此类账户被接管。这些主要涉及多因素身份验证方法，通常采取以下形式：

· 物理Token

· 通过通知/短信推送的一次性口令

然而，这些方法并非没有问题。

首先，尽管需要与设备一起使用的物理令牌可能是最安全的，但它们实施起来很麻烦，为管理员添加了更多工作，并且经常要求用户为登录的系统提供额外的输入。这又增加了诸多麻烦并降低了用户体验。

另外，物理令牌通常不支持移动设备，因此在用户使用这些设备时容易受到攻击，或者完全不能使用这些设备。随着世界各地组织广泛采用“超越公司”模式，这是一个令人担忧的入侵点。

如前所述，具有第二个因素（例如PIN码）的文本消息可以很容易地被钓鱼，因为攻击者在用户登录到钓鱼网站的同时会冒充原始用户;用户将通过文本获得真正的第二个PIN码，然后继续将其发送到恶意站点。然后，该站点会将其发送到SaaS提供商站点（例如Office 365）。 

三、需要的解决方案

由于当前解决方案存在重大问题，很显然，即使是最复杂的Office 365和带外应用也需要开发和防错的替代方案（例如，2017年6月黑客对英国国会成员的90个电子邮件帐户进行入侵），阻止网络钓鱼攻击。

这种替代解决方案应该能够在任何设备上工作，无论是托管还是非托管，还包括移动应用，以便它可以在任何地方被任何人使用。

此外，为了防止账户接管，需要确保任何被授权访问SaaS平台的设备都干净并符合公司的安全策略，以防止恶意软件或操作系统漏洞攻击的设备登录。

所需的解决方案也必须无忧无虑，并为用户提供无缝的体验，不会影响访问帐户的过程。同时，该解决方案还必须具有较低的运营成本，并且为组织提供的服务与用户一样方便。

在我们下一篇关于云安全系列的文章中，我们将仔细研究这些解决方案以及如何实施，希望能够避免此类破坏性帐户接管事件。