去年企业邮件安全投入增长了34%,但钓鱼邮件的送达率反而涨了12%。
安全公司卡巴斯基最近抓到一个典型样本:攻击者没买0day,没养僵尸网络,只是注册了一个合法的无代码平台账号,就把微软365的钓鱼页面直接送进了目标收件箱。这种"寄生式攻击"的隐蔽性,让传统邮件网关几乎失效。
攻击链路拆解:从注册到投毒只需20分钟
被利用的平台叫Bubble.io,一个允许用户拖拽搭建网页应用的无代码工具。它的商业模式很清晰——降低技术门槛,让非程序员也能做产品原型。但门槛降低这件事,对黑产同样成立。
卡巴斯基的研究人员还原了完整攻击流程。第一步,攻击者在Bubble.io注册免费账号,使用平台提供的可视化编辑器或内置AI聊天机器人,生成包含复杂JavaScript的前端结构。第二步,将伪造的微软登录页面嵌入其中,外层套上Cloudflare的人机验证作为伪装。第三步,利用Bubble.io的子域名托管功能,让钓鱼站点获得xxx.bubble.io的URL。
这个域名是关键。邮件安全系统普遍依赖域名信誉评分,而bubble.io作为运营多年的正规平台,天然拥有高信誉值。攻击者发送的钓鱼邮件因此顺利穿透多层过滤,直接出现在受害者的收件箱顶部。
邮件安检的盲区在于:它擅长识别恶意代码,却不擅长判断"合法平台上的恶意内容"。
受害者点击链接后,看到的界面高度还原微软365登录页,包括企业品牌定制元素。输入的账号密码经JavaScript实时回传至攻击者服务器,部分变种还会触发二次验证劫持——页面弹出假的MFA输入框,骗取动态验证码。
卡巴斯基的预测:这种手法正在快速复制
卡巴斯基在报告中用了"bright future"形容这项技术的传播前景——不是赞赏,是警告。无代码平台的数量在过去三年膨胀了数倍:Webflow、Framer、Glide、Adalo,每一家都提供类似的"拖拽建站+子域名托管"服务。
攻击成本的变化最能说明问题。传统钓鱼需要购买被黑服务器或搭建基础设施,月均成本约200-500美元,且存在被封禁风险。Bubble.io的免费套餐足够支撑小规模攻击,即使账号被封,重新注册的成本趋近于零。
更麻烦的是检测难度。安全厂商通常通过URL黑名单拦截钓鱼链接,但*.bubble.io这类通配符域名无法整体封禁——会误杀大量合法用户。逐条审核子域名?Bubble.io上托管的应用数量超过300万个,人力审核不现实。
卡巴斯基观察到,部分攻击者已经开始"平台轮换"策略。同一批钓鱼模板,本周挂在Bubble.io,下周迁移到Webflow,月底可能出现在Notion的公开页面。这种流动性让基于域名的防御体系疲于应对。
企业安全团队的反馈很直接:现有的邮件网关规则,对这种"寄生在SaaS里的恶意内容"缺乏有效抓手。
平台方的两难:开放性与安全性的永恒张力
Bubble.io并非没有安全措施。平台要求邮箱验证,免费账号有功能限制,付费才能绑定自定义域名。但这些门槛对定向攻击影响有限——黑产购买批量邮箱的成本以美分计,付费套餐的月费(29美元起)在攻击收益面前可以忽略。
更深层的矛盾在于产品定位。无代码平台的核心卖点是"零技术门槛快速上线",任何增加审核环节的设计都会损害用户体验。Bubble.io的竞争对手们也在面临同样困境:收紧审核可能流失用户,放任自流则成为攻击温床。
卡巴斯基建议企业采用"零信任邮件策略"——即使邮件来自看似可信的域名,链接跳转后的页面仍需二次验证。微软365管理员可以启用"安全链接"功能,强制所有外部链接经微软沙箱扫描后再呈现。
但技术防御总有边界。钓鱼攻击的终点是人的判断,而攻击者正在用AI工具批量生成更具迷惑性的内容。卡巴斯基捕获的样本中,部分钓鱼页面的文案已由GPT类模型优化,针对不同行业定制话术——医疗行业的邮件强调"合规审计",制造业的则伪装成"供应链系统升级"。
这种精准度提升意味着,即使受过培训的员工,在匆忙处理邮件时也可能失手。
一个值得追问的细节
卡巴斯基的报告末尾提到一个尚未公开的技术细节:攻击者在部分样本中嵌入了特定的JavaScript混淆模式,疑似来自某个已知的钓鱼工具包变种。这意味着当前观察到的攻击可能只是冰山一角——背后可能存在更成熟的黑产供应链,专门提供"无代码平台钓鱼即服务"。
如果这种模式被规模化复制,企业邮件安全的防御重心可能需要从"拦截恶意域名"转向"行为异常检测"——关注谁在什么时间段创建了应用,而非应用托管在哪里。
你的企业邮箱最近收到过来自*.bubble.io或类似平台的链接吗?点开之前,你会习惯性地检查URL的完整路径,还是只扫一眼发件人域名就放行?
热门跟贴