行业新闻与博客

梭子鱼研究人员发现，网络犯罪分子正在滥用合法的 URL 保护服务来掩盖恶意网络钓鱼链接。

该公司观察到网络钓鱼活动使用三种不同的 URL 保护服务来掩盖网络钓鱼 URL，并将受害者发送到旨在获取其凭证的网站。

研究人员认为，迄今为止，这些活动已经针对了数百家公司，甚至更多。

URL 保护服务旨在防止用户通过钓鱼链接访问恶意网站。每当电子邮件中包含 URL 时，该服务都会复制并重写，然后将原始 URL 嵌入重写的 URL 中。

如果电子邮件收件人点击此“包装”链接，则会触发对原始 URL 的电子邮件安全扫描。如果扫描结果正常，则用户将被重定向到该 URL。如果扫描结果异常，则用户将被阻止进入原始 URL。

URL 保护服务如何被利用

在这些新颖的攻击中，威胁行为者通过被入侵的账户进入 URL 保护服务，并利用它重写自己的网络钓鱼 URL，从而隐藏其恶意性质 - 本质上是将该服务转向自身。

这样他们就可以冒充账户所有者，渗透和检查他们的电子邮件通信，以及从被入侵的账户发送电子邮件。这种策略被称为对话劫持。

此外，威胁行为者可以通过分析与帐户相关的电子邮件或用户电子邮件签名中的链接来确定是否正在使用 URL 保护服务。

为了利用 URL 保护来重写自己的钓鱼 URL，研究人员指出，攻击者要么需要访问内部系统来重写钓鱼 URL，这种情况“极其罕见”，要么更有可能使用受感染的帐户向自己发送包含钓鱼链接的出站电子邮件。

在发送该邮件时，用户所在组织安装的 URL 保护服务将使用其自己的 URL 保护链接重写钓鱼 URL。这样一来，攻击者便可利用该链接隐藏恶意 URL，并将其发送至随后的钓鱼电子邮件中，以该组织的员工为目标。

研究人员表示，URL 保护提供商可能无法验证特定客户使用的重定向 URL 是否确实由该客户使用，还是由接管该帐户的入侵者使用。

Barracuda 表示，利用 URL 保护服务可能是有意的，也可能是投机取巧的。

攻击者绕过常见的安全控制

Barracuda 指出，许多传统的电子邮件安全工具无法检测到这些新颖的策略，而利用值得信赖的安全品牌更有可能给用户一种虚假的安全感并点击恶意链接。

这项新研究遵循了威胁行为者绕过传统安全控制以加强网络钓鱼活动的其他观察方式。

其中包括越来越多地使用 quiishing 攻击——使用二维码将目标引导至恶意网站而非 URL 的网络钓鱼邮件。这种方法增加了收件人使用组织网络或防病毒保护之外的个人设备访问恶意网站的可能性。

另一种观察到的策略是利用流行的合法服务的基础设施进行网络钓鱼活动，从而使安全工具更难区分来自该服务的恶意或良性电子邮件。