你收到一封联邦快递配送更新邮件,点击后链接跳转了一下,地址栏短暂闪过 meet.google.com,又变成了 google.com/url,最后落在一个微软 365 登录页。一切看起来都是大厂官方域名,没人会起疑心。安全扫描器也这么想——它看到的全是谷歌的“白名单”地址,于是放心放行。直到你输入密码,攻击者才露出微笑。
安全团队 KnowBe4 ThreatLabs 正在追踪的一波钓鱼活动,恰恰把这种“信任即武器”的思路玩到了极致。研究人员在给 Cyber Security News 的一份报告中,将这套手法称为三重链式投递。攻击者不是藏起恶意链接,而是把它埋在一串合法谷歌服务的跳转里,让邮件安全网关从头查到尾都只看到干净域名,根本发现不了真实的钓鱼页面。
这波攻击有三样东西值得单独拆开看:链式跳板、紧迫性诱饵,以及两条截然不同的收割路径。链式跳板是这样串起来的:SafeLinks 先跳转到 meet.google.com/linkredirect,再传给 google.com/url,接着经过 adservice.google.com.ph,最后抵达攻击者控制的钓鱼页。每一跳的域名信誉评分都无懈可击,安全网关逐跳检查时认为邮件安全,直接放行。等到活人点击,机器和人的体验断开了,攻击者等的就是这个缺口。
诱饵的设计只有一个目标:让你觉得必须立刻动手。钓鱼邮件伪装成联邦快递更新、DocuSign 或 AutoSign 文件请求、微软 365 密码过期提醒、虚假付款通知,有的甚至直接塞一个恶意二维码让你扫。每一种都在制造焦虑,生怕你一犹豫就错过“紧急处理窗口”。
一旦有人中招,后续操作会按照邮件类型分两条路。第一条路是经典的凭据窃取:受害者跳转到一个像素级还原的微软 365 登录页,邮箱地址已经预填好,就差你输入密码。第二条路更隐蔽,用的是一个伪造的 OneDrive 共享文档,页面里直接给出一个预生成的微软设备码。只要受害者在真实微软页面上输入这个码,攻击者就能绕过密码,直接拿到企业账号的完整访问权限,简直就是为“无密码时代”量身定制的劫持手法。
整个攻击的核心,被研究人员称为嵌套投递矩阵。攻击者构造的 URL,先穿过三个谷歌旗下的域名,才落到恶意端点。安全网关在每一跳查到的都是谷歌,信誉分一条直线拉满,于是判定邮件无害。这就像把违禁品装进印有顶级快递品牌标志的箱子里,安检只认品牌不拆箱,自然一路绿灯。对于企业来讲,单靠域名信誉已经不够了,因为攻击者赌的就是“知名平台等于安全”的惯性思维。
热门跟贴