网络钓鱼新手法：利用合法链接保护服务

关键要点

网络安全公司 Barracuda 发现一种新型网络钓鱼攻击手法，利用合法的 URL 保护服务来掩饰恶意邮件链接。此攻击开始于 2024 年 5 月中旬，攻击者通过将恶意链接“包装”在合法保护服务的域名下，降低了被自动检测和过滤的可能性。使用了假冒密码重置提醒和伪造 DocuSign 文件的钓鱼邮件，受害者可能被引导至恶意网站。实现多层次的电子邮件保护是抵御此类攻击的关键。

近年来，网络安全公司 Barracuda 最近曝光了一种新的 网络钓鱼 攻击手法。这种手法利用合法的 URL 保护服务来掩盖恶意邮件链接，使得其看似更为可信。

vps加速器外网

根据 Barracuda 最新发布的 博客文章，这种新的钓鱼手法早在 2024 年 5 月中旬便开始被滥用。此攻击利用了组织所使用的 URL 保护服务的合法性，将一种反钓鱼措施转变成钓鱼工具。

钓鱼攻击的运作机制

攻击步骤描述链接重写URL 保护服务重写商务邮箱收到的链接，指向保护服务以扫描原链接的威胁。重定向过程如果没有发现威胁，用户将被重定向至原始网址。恶意包装攻击者利用已被入侵的商业账户生成预包装链接，并将其发送给受影响的账户。

根据 Barracuda 的报告，这项攻击不仅针对数百个组织，且攻击者能够将他们自己的钓鱼链接“包装”在合法的保护服务域名内，从而降低了被自动检测和过滤的概率。

研究人员推测，攻击者可能使用已经被攻破的商业账户，这些账户利用 URL 保护服务生成预包装链接。随后，攻击者将这些链接发送到他们控制的被攻破账户，并能在后续的钓鱼邮件中复制重写后的 URL。

此次邮件攻击的类型包括伪造的密码重置提醒和伪造的 DocuSign 文档，目的在于引诱受害者访问恶意钓鱼网站。与此次攻击相关的钓鱼域名包括 wanbf[]com 和 clarelocke[]com。

当 SC Media 咨询 Barracuda 是否 URL 保护服务的扫描会阻止这些攻击时，Barracuda 的发言人表示，公司自己的产品能够检测恶意域名，但未对其他邮件保护服务发表评论。

Barracuda 还建议：“组织应部署多层防护产品，例如在 Barracuda 的电子邮件保护中，我们结合了机器学习技术与 LinkProtect，以确保用户的交互尽可能少。”

网络攻击者不断寻求伪装链接的方法

Barracuda 的博客文章指出，最新的钓鱼活动与以往的活动类似，攻击者曾利用合法的链接缩短服务来隐藏恶意 URL。事实上，网络犯罪分子已经采取多种手段来伪装钓鱼链接。

例如，Cofense 在去年的十月发现了一种新一轮的钓鱼活动， 借助 LinkedIn Smart Links 引导目标访问恶意网站。LinkedIn Smart Links 是通过 LinkedIn 的 Sales Navigator 生成的，用于提供内容并跟踪互动；由于与 LinkedIn 域名的关联，钓鱼活动不易被电子邮件安全服务标记为恶意。

攻击者还利用谷歌的加速移动页面AMP框架，将恶意 URL 附加到 googlecom 链接中，这种方式可以借助谷歌的可信度避免检测， Cofense 于去年八月披露。

此外