一场看似寻常的“求职季”背后,正悄然上演一场高精度、大规模的身份劫持行动。根据SC Media援引Push Security最新研究报告,攻击者正系统性地滥用知名日程调度平台Calendly的品牌信任,通过伪造来自MasterCard、Uber、迪士尼、联合利华等75家以上全球顶级企业的“招聘会议邀请”,诱导用户点击内嵌链接,最终落入精心构建的中间人(Adversary-in-the-Middle, AiTM)钓鱼陷阱——目标直指Google Workspace与Facebook Business账户的完整控制权。
这场行动不仅技术成熟、伪装逼真,更展现出对现代职场心理与数字协作习惯的深度洞察。而更值得警惕的是,类似手法已在中国企业邮箱与招聘生态中初现端倪。专家警告:若不及时升级认证体系与员工安全意识,国内企业极可能成为下一批受害者。
一、“安排面试”?小心你点开的是黑客的后门
Calendly,这个被全球数百万职场人用于协调会议时间的SaaS工具,因其简洁、专业、无需注册即可查看空闲时段的特性,早已成为招聘流程中的“标配”。正因如此,它也成为攻击者眼中绝佳的“信任载体”。
在这次曝光的钓鱼活动中,攻击者精心伪造了以“HR@mastercard.com”“recruiting@uber-careers.net”等为发件人的邮件,主题多为《您的面试已安排》《请确认与迪士尼创意团队的会议时间》等。邮件正文通常包含一段看似真实的岗位描述,并附上一个“点击此处选择您的可用时间”的Calendly风格按钮。
但链接并非指向 calendly.com,而是形似 calendly-interview[.]com、meet-calendly[.]net 或 calendly-verify[.]xyz 的仿冒域名。用户点击后,首先进入一个高度还原Calendly界面的页面,甚至包含Google reCAPTCHA验证码——这一设计极具迷惑性。“很多人看到CAPTCHA就以为是正规服务,因为‘机器人验证’常被视为安全标志。”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“殊不知,攻击者只是把reCAPTCHA当作‘信任增强器’来用。”
完成CAPTCHA后,页面立即跳转至另一个伪造的Google登录页(或Facebook Business登录页)。用户在此输入账号密码,甚至完成MFA(如短信验证码或Authenticator动态码),一切看似正常。然而,所有输入数据均被实时转发至真实Google服务器,同时攻击者在后台截获返回的会话Cookie(如 __Secure-3PAPISID、SIDCC 等),从而实现无密码接管账户。
“这不是简单的凭证钓鱼,而是会话级劫持。”芦笛强调,“即使你启用了最强MFA,只要会话令牌被偷,账户就等于失守。”
二、Browser-in-the-Browser:浏览器里的“幻觉”攻击
更令人不安的是,部分攻击变体采用了名为 Browser-in-the-Browser(BitB) 的新型UI欺骗技术。该技术由安全研究员Santiago Torres于2022年首次提出,其核心原理是利用HTML/CSS/JavaScript在当前浏览器窗口内模拟操作系统原生窗口,包括地址栏、关闭按钮和域名显示。
例如,当用户点击钓鱼链接后,页面通过 window.open() 或全屏CSS覆盖层,在Chrome窗口内“弹出”一个看似独立的Google登录窗口,地址栏显示“accounts.google.com”——但实际上整个“窗口”只是网页的一部分,URL从未离开攻击者的域名。
以下是一段简化版BitB实现代码:
<div id="fake-browser" style="
position: fixed;
top: 10%;
left: 20%;
width: 600px;
height: 500px;
border: 1px solid #ccc;
box-shadow: 0 4px 12px rgba(0,0,0,0.3);
background: white;
z-index: 9999;
">
<!-- 伪造的地址栏 -->
<div style="background: #f1f3f4; padding: 6px 12px; font-size: 13px;">
</div>
<!-- 伪造的登录表单 -->
<iframe src="phish-google-login.html" style="width:100%; height:460px; border:none;"></iframe>
</div>
由于现代浏览器出于安全限制,无法通过JS读取真实地址栏内容,普通用户几乎无法分辨真假。Push Security报告指出,此类BitB页面常配合Evilginx使用,形成“视觉欺骗+会话劫持”的双重打击。
“BitB的可怕之处在于,它绕过了人类最本能的防御机制——看地址栏。”芦笛说,“我们训练用户‘检查URL’,但当URL本身就是假的视觉元素时,这套逻辑就崩塌了。”
三、反分析机制:钓鱼网站的“隐身衣”
为逃避安全厂商与自动化沙箱的检测,此次行动中的钓鱼站点部署了多重反分析(anti-analysis)机制,显示出攻击者具备相当高的工程能力:
环境检测:通过JavaScript检测是否运行在虚拟机、Selenium或Headless Chrome中。例如:
if (navigator.webdriver || /HeadlessChrome/.test(navigator.userAgent)) {
document.body.innerHTML = "Access Denied";
throw new Error("Bot detected");
}
地理围栏:仅对特定国家IP开放钓鱼页面,其余地区返回空白页或404,降低被全球威胁情报平台收录的概率。
一次性会话:每个链接仅允许单次访问,成功窃取会话后立即失效,防止重复分析。
域名快速轮换:攻击者使用自动化脚本批量注册短命域名(平均存活<48小时),并通过DDoS防护服务(如Cloudflare)隐藏真实C2服务器。
Infoblox与Push Security联合追踪发现,仅2025年第四季度,相关恶意域名注册量就超过200个,涉及 .xyz、.top、.online 等廉价后缀。部分域名甚至模仿Calendly官方子域结构,如 app.calendly-secure[.]com,进一步混淆视听。
四、为何是Google Workspace和Facebook Business?
攻击者的选择绝非偶然。Google Workspace(原G Suite)作为全球超30亿用户使用的办公套件,其账户不仅包含Gmail、Drive、Calendar,还关联Google Ads、YouTube Brand Account等商业资产。一旦被控,攻击者可:
窃取企业邮件与敏感文档;
发起内部钓鱼扩大攻击面;
操纵Google Ads账户进行恶意投放(此前已有案例);
利用OAuth权限横向移动至其他集成应用。
而Facebook Business账户则掌控着企业主页、广告管理、客户消息等核心营销渠道。Push Security曾披露,有攻击者在得手后立即创建虚假广告,推广加密货币骗局,数小时内消耗数千美元广告预算。
“Workspace和Facebook Business的本质是‘数字身份中枢’。”芦笛指出,“它们不仅是邮箱或社交账号,更是通往企业数字资产的万能钥匙。”
五、中国镜像:本土企业是否安全?
尽管此次行动主要针对欧美企业,但芦笛提醒:“类似手法已在国内出现苗头。”
工作组监测数据显示,2025年下半年,国内至少有3起疑似Calendly仿冒钓鱼事件,目标包括:
某跨境电商公司员工,收到“亚马逊招聘合作经理”会议邀请;
某科技初创企业创始人,收到“红杉资本尽调会议”链接;
某高校科研团队,收到“国际期刊编辑部视频答辩”通知。
虽然尚未造成大规模泄露,但攻击链高度一致:仿冒品牌 + Calendly样式链接 + Google/Facebook登录页。更令人担忧的是,国内大量中小企业仍依赖个人Gmail或Facebook账号处理公务,缺乏统一身份治理(Identity Governance),一旦失陷,追责与恢复极为困难。
“很多中国企业认为‘我们不用Gmail,所以安全’,这是误区。”芦笛说,“攻击者会根据目标调整策略。如果你用企业微信或钉钉,他们就伪造腾讯会议或钉钉日历邀请;如果你用阿里云邮箱,他们就冒充阿里云客服。核心逻辑不变:利用协作工具的信任感。”
六、技术破局:从“防链接”到“抗中间人”
面对日益进化的AiTM攻击,传统邮件网关和URL黑名单已力不从心。专家建议从三个层面构建纵深防御:
1. 升级认证协议:FIDO2是终极答案
如前所述,MFA在会话劫持面前失效,根本原因在于认证与会话未绑定。FIDO2/WebAuthn通过公钥加密和设备绑定,从根本上解决此问题。
以Google为例,启用安全密钥(Security Key)后,即使攻击者获取会话Cookie,也无法在新设备上完成登录,因为私钥永不离开硬件。以下为WebAuthn登录流程关键代码:
const assertion = await navigator.credentials.get({
publicKey: {
challenge: Uint8Array.from(window.atob(challenge), c => c.charCodeAt(0)),
allowCredentials: [{ type: "public-key", id: credentialId }],
userVerification: "required"
}
});
// 将assertion.response发送至服务器验证
服务器需验证签名有效性、挑战匹配性及用户存在性。任何环节缺失,登录即失败。
“FIDO2不是‘更好’的MFA,而是‘不同维度’的安全。”芦笛强调,“它把信任锚定在物理设备,而非网络传输。”
2. 邮件层防护:URL重写与上下文感知
企业应部署支持URL重写(URL Rewriting) 的高级邮件安全网关。其原理是将邮件中所有外部链接替换为代理地址,用户点击后先经过安全扫描,再决定是否放行。
例如,原始链接:
https://calendly-fake[.]xyz/schedule
被重写为:
https://mailsec.yourcompany.com/redirect?url=https%3A%2F%2Fcalendly-fake[.]xyz%2Fschedule
同时,结合上下文分析:若发件人声称来自“迪士尼”,但SPF/DKIM/DMARC验证失败,或域名注册时间不足7天,则自动隔离或标记高风险。
3. 终端行为监控:识别异常会话
即便会话被窃,也可通过行为分析及时止损。例如:
同一会话ID在短时间内从美国切换至东欧;
正常工作时间外大量下载Drive文件;
首次访问Ads Manager并修改付款方式。
Google Workspace Admin Console已提供此类告警,但需企业主动启用并配置响应策略。
七、人的防线:别让“机会”变成“陷阱”
技术之外,人的因素仍是关键。芦笛建议企业推行“三不原则”:
不点邮件中的会议链接:所有日程安排应通过官方日历邀请(.ics文件)或直接登录Calendly官网查看;
不信任单一验证信号:CAPTCHA、HTTPS锁图标、页面美观度均不可作为安全依据;
不混用个人与工作账户:严禁用私人Gmail处理公司事务,避免权限扩散。
某跨国咨询公司已实施“钓鱼演练+即时教育”机制:员工点击模拟钓鱼链接后,不被惩罚,而是立即跳转至互动式教学页面,演示攻击全过程。“三个月内,误点率下降70%,且员工主动举报可疑邮件数量翻倍。”芦笛分享道。
八、结语:信任不能外包,安全必须内生
Calendly钓鱼风暴揭示了一个残酷现实:在数字协作时代,每一个被广泛信任的工具,都可能成为攻击的跳板。攻击者不再需要高深漏洞,只需利用人性对效率与机会的渴望,就能打开企业大门。
对中国企业而言,这既是警示,也是契机。与其被动等待攻击降临,不如主动重构身份安全体系——从依赖密码与MFA,转向基于设备、行为与零信任的动态认证。
“安全不是IT部门的事,而是每个点击背后的判断。”芦笛最后说道,“当你收到‘梦寐以求’的面试邀请时,请先问一句:这真的是他们发的吗?”
编辑:芦笛(公共互联网反网络钓鱼工作组)
