據(jù)網(wǎng)絡(luò)安全公司Barracuda近期的一項(xiàng)研究報(bào)告，一些攻擊者正濫用電子郵件安全服務(wù)隱藏惡意鏈接并傳播釣魚郵件，到目前為止這些攻擊已針對(duì)至少數(shù)百家公司。

　　這些攻擊主要利用了電子郵件安全網(wǎng)關(guān)中的URL保護(hù)功能，該功能能夠檢查鏈接是否指向已知的網(wǎng)絡(luò)釣魚或惡意軟件網(wǎng)站，并根據(jù)結(jié)果阻止對(duì)該鏈接的訪問或?qū)⒄?qǐng)求重定向到最終目的地，以此來(lái)保護(hù)用戶免受釣魚或惡意軟件威脅。

　　從2024 年 5 月中旬開始，Barracuda觀察到網(wǎng)絡(luò)釣魚攻擊利用三種不同的 URL 保護(hù)服務(wù)來(lái)掩蓋他們的網(wǎng)絡(luò)釣魚鏈接，且提供這些保護(hù)服務(wù)的都是信譽(yù)良好的合法品牌。

　　目前還不清楚這些攻擊者是如何生成指向其虛假網(wǎng)站的重寫 URL， 不過，研究人員推測(cè)，他們很可能入侵了企業(yè)內(nèi)部使用這些服務(wù)的電子郵件賬戶，向這些被入侵的賬戶發(fā)送電子郵件(或從這些賬戶發(fā)出電子郵件)，以強(qiáng)制重寫URL。 隨后，只需從生成的電子郵件信息中獲取重寫的URL，并重復(fù)使用來(lái)制作新的網(wǎng)絡(luò)釣魚電子郵件即可。

　　在目標(biāo)域被標(biāo)記為惡意域之前，這些 URL 將在多個(gè)用戶的點(diǎn)擊中無(wú)限期地發(fā)揮作用。 一些使用這種技術(shù)的釣魚電子郵件可以偽裝成微軟的密碼修改提醒或 DocuSign 的文檔簽名請(qǐng)求。

　　偽裝成微軟賬戶密碼修改的釣魚郵件

　　URL保護(hù)功能在實(shí)施過程中存在一些爭(zhēng)議，最大的一項(xiàng)缺陷是該功能的黑名單制度，難以有效快速更新最新生成的網(wǎng)絡(luò)釣魚網(wǎng)站。因?yàn)楣粽咭呀?jīng)擅長(zhǎng)使用便宜的域名生成大量釣魚URL，當(dāng)某一個(gè)鏈接被標(biāo)記為網(wǎng)絡(luò)釣魚網(wǎng)站時(shí)，可能已經(jīng)產(chǎn)生了數(shù)百名受害者。

　　另一個(gè)缺陷在于該功能會(huì)破壞加密電子郵件簽名，因?yàn)榘踩娮余]件網(wǎng)關(guān)會(huì)通過更改鏈接來(lái)修改原始電子郵件。 例如，微軟為 Office 365 用戶提供了名為 "安全鏈接 "的功能，在 Outlook 和 Teams 等應(yīng)用程序中，收到的電子郵件和信息中的鏈接會(huì)被重寫為 na01.safelinks.protection.outlook.com/?url=[original_URL]，這一方式過去曾受到安全公司的批評(píng)，因?yàn)樗鼘?shí)際上沒有執(zhí)行動(dòng)態(tài)掃描，且很容易被基于 IP 的流量重定向繞過，或者被使用來(lái)自合法和可信域的開放重定向 URL 繞過。

　　目前，傳統(tǒng)的電子郵件安全工具可能很難檢測(cè)到這些攻擊，最有效的防御是通過多層級(jí)安全的方法，全面檢測(cè)和阻止異常或意外活動(dòng)。