行業新聞與博客

梭子魚研究人員發現，網絡犯罪分子正在濫用合法的 URL 保護服務來掩蓋惡意網絡釣魚鏈接。

該公司觀察到網絡釣魚活動使用三種不同的 URL 保護服務來掩蓋網絡釣魚 URL，並將受害者發送到旨在獲取其憑證的網站。

研究人員認為，迄今為止，這些活動已經針對了數百家公司，甚至更多。

URL 保護服務旨在防止用户通過釣魚鏈接訪問惡意網站。每當電郵中包含 URL 時，該服務都會複製並重寫，然後將原始 URL 嵌入重寫的 URL 中。

如果電郵收件人點擊此“包裝”鏈接，則會觸發對原始 URL 的電郵安全掃描。如果掃描結果正常，則用户將被重定向到該 URL。如果掃描結果異常，則用户將被阻止進入原始 URL。

URL 保護服務如何被利用

在這些新穎的攻擊中，威脅行為者通過被入侵的賬户進入 URL 保護服務，並利用它重寫自己的網絡釣魚 URL，從而隱藏其惡意性質 - 本質上是將該服務轉向自身。

這樣他們就可以冒充賬户所有者，滲透和檢查他們的電郵通信，以及從被入侵的賬户發送電郵。這種策略被稱為對話劫持。

此外，威脅行為者可以通過分析與帳户相關的電郵或用户電郵簽名中的鏈接來確定是否正在使用 URL 保護服務。

為了利用 URL 保護來重寫自己的釣魚 URL，研究人員指出，攻擊者要麼需要訪問內部系統來重寫釣魚 URL，這種情況“極其罕見”，要麼更有可能使用受感染的帳户向自己發送包含釣魚鏈接的出站電郵。

在發送該郵件時，用户所在組織安裝的 URL 保護服務將使用其自己的 URL 保護鏈接重寫釣魚 URL。這樣一來，攻擊者便可利用該鏈接隱藏惡意 URL，並將其發送至隨後的釣魚電郵中，以該組織的員工為目標。

研究人員表示，URL 保護提供商可能無法驗證特定客户使用的重定向 URL 是否確實由該客户使用，還是由接管該帳户的入侵者使用。

Barracuda 表示，利用 URL 保護服務可能是有意的，也可能是投機取巧的。

攻擊者繞過常見的安全控制

Barracuda 指出，許多傳統的電郵安全工具無法檢測到這些新穎的策略，而利用值得信賴的安全品牌更有可能給用户一種虛假的安全感並點擊惡意鏈接。

這項新研究遵循了威脅行為者繞過傳統安全控制以加強網絡釣魚活動的其他觀察方式。

其中包括越來越多地使用 quiishing 攻擊——使用二維碼將目標引導至惡意網站而非 URL 的網絡釣魚郵件。這種方法增加了收件人使用組織網絡或防病毒保護之外的個人設備訪問惡意網站的可能性。

另一種觀察到的策略是利用流行的合法服務的基礎設施進行網絡釣魚活動，從而使安全工具更難區分來自該服務的惡意或良性電郵。