在网络安全的舞台上，钓鱼攻击一直是最具破坏性的威胁之一，而钓鱼即服务（Phishing-as-a-Service, PaaS）平台的出现更是使得这种攻击方式变得便捷和普遍。最近，微软针对一个臭名昭著的钓鱼即服务平台——ONNX，提起了法律诉讼，并对此采取了一系列应对措施。这一举动无疑引起了网络安全界的广泛关注。

ONNX自2017年以来一直在为网络犯罪分子提供服务，成为了拥有高频率攻击的主要参与者。根据微软的《数字防御报告2024》，ONNX被认定为业内顶级的攻击者中间人（Adversary-in-the-Middle, AitM）钓鱼服务，其在今年上半年每个月都对数以百万计的微软365账户进行了钓鱼攻击。微软终于审时度势，决定采取强有力的措施来遏制这一最新的威胁。

据微软透露，ONNX在Telegram上以订阅服务的形式推广和出售钓鱼工具包，价格从每月150美元到550美元不等。这些钓鱼工具包设计用于针对包括谷歌、Dropbox、Rackspace和微软在内的多个技术行业的企业。ONNX的攻击手段不仅高效，而且具有隐蔽性，通过Telegram机器人进行控制，并内置了两步验证（2FA）绕过机制，使得攻击者更难以被发现。

在近年来，QR码钓鱼（又称quishing）也成为了ONNX的新攻击手段，特别是针对金融公司员工的攻击日益增多。ONNX利用所谓的“防弹主机”服务，来延缓钓鱼域名的关闭时间，并且其使用了可以自我解密的加密JavaScript代码，从而有效地规避了检测。

微软数字犯罪部门的副总法律顾问史蒂文·马萨达（Steven Masada）表示：“尽管今天的法律行动将严重削弱ONNX的运营，但其他提供者会随之填补这一空白，我们预期威胁行为者会根据情况调整其技术。然而，这一行动对那些选择复制我们服务以伤害互联网用户的人发出了强烈的警告：我们将积极追求法律责任，以保护我们的服务和客户，并持续改善我们的技术和法律策略，以产生更大的影响。”

接下来的挑战在于，随着微软对ONNX的打击，新的威胁源将会出现。网络犯罪分子将继续寻找新的方法来攻击用户和企业，随着网络安全技术的进步，他们的攻击方式也在不断演变。因此，合规性和防范措施的更新也显得极为重要。

特别是在当前的网络环境中，越来越多的企业和个人都使用云服务和在线平台。钓鱼攻击的目标相应地也在逐渐转向这些新兴领域。钓鱼攻击者很清楚，他们可以通过伪装成合法服务来获取用户的敏感信息，从而实施更多的恶意活动。这种趋势意味着，企业不仅需要建立强大的技术防线，也需要提高员工的安全意识，以减少钓鱼攻击成功的机会。

与此同时，微软还提到了技术防范的持续进展，他们已采取措施增强自身平台的安全性，定期更新和监测其安全系统，确保用户数据得到更好的保护。提高用户在网上的安全意识同样关键，因为一旦用户对钓鱼攻击有所警惕，可以有效地减少受害者的数量。

然而，对抗网络犯罪的斗争是一个持续的过程。法律和技术的双重措施将是打击钓鱼攻击和其他网络犯罪的重要手段。如同经济和商业环境一样，网络安全领域也在不断发展，我们必须时刻保持警惕，以应对新兴的威胁与挑战。微软此次的法律诉讼标志着企业对于网络安全认真且坚定的态度，彰显了技术巨头在该领域的前沿角色。

以外界对ONNX平台的关注为契机，预计会引领更多企业加入到打击网络犯罪的行列中来，推动行业内的安全合作与信息共享。同时，用户的个人信息安全意识也有必要在社会层面上加以提升，毕竟，网络安全不仅仅是企业技术部门的责任，更多的是每个用户对自身信息和数据安全的重视和保护。

面对不断加强的网络犯罪活动，企业和用户需要共同努力，以建立一个更加安全的网络环境。这一点在互联网时代尤为迫切，如何保护数据安全、减少钓鱼攻击等网络威胁，将是未来网络安全发展的重要课题之一。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)