一封看似普通的日程协调邮件,正悄然成为黑客攻破企业核心账户的新跳板。据安全媒体Cyber Press最新披露,网络安全公司Push Security近期追踪到一场高度协同、技术成熟的钓鱼行动——攻击者大规模滥用知名日程调度平台Calendly的品牌形象,通过伪造“会议安排”页面,精准锁定Google Workspace与Facebook Business账户,成功绕过传统多因素认证(MFA),实现对高权限商业账户的完整接管。
这场行动不仅复刻了真实职场协作场景,更融合了验证码欺骗、中间人代理、浏览器内弹窗伪造等多重高级技术手段。更值得警惕的是,类似攻击模式已在中国企业邮箱生态中初现端倪。专家警告:在远程办公与数字协作日益普及的今天,“点击会议链接”这一日常操作,正成为企业安全链条中最脆弱的一环。
一、“安排会议”?你可能正在交出账户控制权
Calendly自2013年上线以来,凭借其简洁、无需来回邮件确认时间的体验,迅速成为全球数百万职场人士的日程协调首选。从初创公司创始人到跨国企业HR,从自由职业者到高校教授,Calendly几乎成了“专业协作”的代名词。然而,正是这种广泛信任,被攻击者精准利用。
在这次曝光的钓鱼活动中,攻击者首先向目标企业员工发送伪装成“合作伙伴对接”“招聘面试安排”或“客户项目启动会”的邮件。发件人地址常模仿真实企业域名(如 hr@lvmh-talent[.]com、partnerships@mastercard-solutions[.]net),正文措辞专业,甚至包含真实的岗位描述或项目背景。
邮件核心是一句看似无害的提示:“请点击下方链接选择您方便的会议时间。”附带的按钮或超链接指向一个外观与Calendly官网几乎一致的页面,URL通常为 calendly-meet[.]xyz、schedule-calendly[.]online 等仿冒域名。
用户点击后,首先进入一个高度还原的Calendly界面:左侧是“会议主题”,右侧是可选时间段。但就在用户准备选择时间前,页面突然弹出Google reCAPTCHA验证——“我不是机器人”。这一设计极具迷惑性。“很多人看到CAPTCHA就放松警惕,认为这是正规服务的安全措施。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“实际上,攻击者只是借用Google的验证码服务来制造‘合法性幻觉’。”
完成验证后,页面并不显示时间选项,而是立即跳转至一个伪造的Google登录页(或Facebook Business登录页)。用户在此输入账号密码,甚至完成MFA(如短信验证码或Authenticator动态码),一切流程看似正常。然而,所有数据均被实时转发至真实Google服务器,同时攻击者在后台截获返回的会话Cookie(如 __Secure-3PSID、HSID、SSID 等),从而获得对账户的完全控制权。
“这不是传统的凭证钓鱼,而是会话级劫持。”芦笛强调,“即使你启用了最强MFA,只要会话令牌被偷,账户就等于失守。攻击者不需要你的密码,他们只需要你‘登录一次’。”
二、Browser-in-the-Browser:在浏览器里造一个“假系统”
更令人不安的是,部分攻击变体采用了名为 Browser-in-the-Browser(BitB) 的新型UI欺骗技术。该技术由安全研究员Santiago Torres于2022年首次提出,其核心在于利用HTML/CSS/JavaScript在当前浏览器窗口内模拟操作系统原生窗口,包括地址栏、关闭按钮和域名显示。
例如,当用户点击钓鱼链接后,页面通过全屏CSS覆盖层,在Chrome窗口内“弹出”一个看似独立的Google登录窗口,地址栏清晰显示“accounts.google.com”——但实际上整个“窗口”只是网页的一部分,URL从未离开攻击者的域名。
以下是一段简化版BitB实现代码:
<div id="fake-browser" style="
position: fixed;
top: 15%;
left: 25%;
width: 560px;
height: 600px;
border-radius: 8px;
box-shadow: 0 10px 30px rgba(0,0,0,0.4);
background: white;
z-index: 99999;
font-family: Arial, sans-serif;
">
<!-- 伪造的操作系统窗口标题栏 -->
<div style="background: #e8eaed; padding: 8px 12px; display: flex; align-items: center;">
<span style="font-size: 14px; color: #202124;">https://accounts.google.com</span>
<div style="margin-left: auto; display: flex; gap: 6px;">
<div style="width: 12px; height: 12px; background: #ff5f57; border-radius: 50%;"></div>
<div style="width: 12px; height: 12px; background: #ffbd2e; border-radius: 50%;"></div>
<div style="width: 12px; height: 12px; background: #28c940; border-radius: 50%;"></div>
</div>
</div>
<!-- 伪造的登录表单(可嵌入iframe或直接写入) -->
<div style="padding: 20px;">
<h2 style="font-size: 20px; margin-bottom: 20px;">Sign in</h2>
<input type="email" placeholder="Email or phone" style="width: 100%; padding: 10px; margin-bottom: 10px; border: 1px solid #ccc; border-radius: 4px;">
<input type="password" placeholder="Password" style="width: 100%; padding: 10px; margin-bottom: 15px; border: 1px solid #ccc; border-radius: 4px;">
<button style="width: 100%; padding: 10px; background: #1a73e8; color: white; border: none; border-radius: 4px; cursor: pointer;">Next</button>
</div>
</div>
由于现代浏览器出于安全限制,无法通过JavaScript读取或修改真实地址栏内容,普通用户几乎无法分辨真假。Push Security报告指出,此类BitB页面常配合Evilginx等AiTM框架使用,形成“视觉欺骗+会话劫持”的双重打击。
“BitB的可怕之处在于,它绕过了人类最本能的防御机制——看地址栏。”芦笛说,“我们训练用户‘检查URL’,但当URL本身就是假的视觉元素时,这套逻辑就崩塌了。”
三、反侦察机制:钓鱼网站的“隐身斗篷”
为逃避安全厂商、自动化沙箱及威胁情报平台的检测,此次行动中的钓鱼站点部署了多重反分析(anti-analysis)机制,显示出攻击者具备相当高的工程素养:
环境指纹检测:通过JavaScript检测是否运行在虚拟机、Selenium自动化脚本或Headless浏览器中。例如:
if (navigator.webdriver || /HeadlessChrome/.test(navigator.userAgent) || screen.width === 0) {
document.documentElement.innerHTML = "<h1>Access Restricted</h1>";
return;
}
地理围栏(Geo-fencing):仅对特定国家或IP段开放钓鱼页面。例如,若目标企业位于美国加州,则只允许来自该地区的IP访问,其余地区返回404或空白页,大幅降低被全球监测系统捕获的概率。
一次性会话与快速域名轮换:每个钓鱼链接仅允许单次有效访问,成功窃取会话后立即失效。同时,攻击者使用自动化脚本批量注册短命域名(平均存活<72小时),并通过Cloudflare等CDN服务隐藏真实C2服务器IP。
内容动态加载:关键钓鱼表单通过AJAX异步加载,避免在初始HTML中暴露敏感字段,绕过基于静态内容的邮件网关扫描。
Cyber Press援引Push Security数据称,仅2025年12月,相关恶意域名注册量就超过150个,涉及 .xyz、.top、.live、.cloud 等廉价后缀。部分域名甚至采用国际化域名(IDN)混淆,如 calendly.сom(使用西里尔字母“с”替代拉丁“c”)。
四、为何聚焦Google Workspace与Facebook Business?
攻击者的选择绝非随机。Google Workspace作为全球超30亿用户使用的生产力套件,其账户不仅是邮箱,更是通往企业数字资产的中枢:
Gmail:可发起内部钓鱼、窃取客户通信;
Google Drive:存储合同、财报、源代码等核心数据;
Google Calendar:可查看高管行程,策划针对性攻击;
Google Ads / YouTube Brand Account:可操纵广告投放、发布虚假内容;
OAuth权限:一旦授权第三方应用,可横向移动至Slack、Zoom、Salesforce等集成平台。
而Facebook Business账户则掌控着企业主页、广告管理、客户消息、Shop电商等关键营销渠道。此前已有案例显示,攻击者在得手后立即创建高预算广告,推广虚假投资平台,数小时内造成数万美元损失。
“Workspace和Facebook Business的本质是‘数字身份中枢’。”芦笛指出,“它们不仅是工具,更是企业在线存在的‘数字人格’。一旦被控,后果远超数据泄露。”
五、中国启示:本土企业并非安全孤岛
尽管此次行动主要针对欧美企业,但芦笛强调:“类似手法已在国内出现苗头,且更具隐蔽性。”
工作组监测数据显示,2025年第四季度以来,国内至少发现5起高度相似的Calendly仿冒钓鱼事件,目标包括:
某跨境电商运营人员,收到“亚马逊全球开店团队”会议邀请;
某AI初创公司CTO,收到“红杉资本技术尽调”日程链接;
某高校国际合作处职员,收到“联合国教科文组织线上研讨会”通知。
虽然尚未公开造成大规模泄露,但攻击链高度一致:仿冒品牌 + Calendly样式链接 + Google/Facebook登录页。更令人担忧的是,国内大量中小企业仍依赖个人Gmail或Facebook账号处理公务,缺乏统一身份治理(Identity Governance),一旦失陷,追责与恢复极为困难。
“很多中国企业认为‘我们主要用钉钉和企业微信,所以安全’,这是误区。”芦笛说,“攻击者会根据目标调整策略。如果你用腾讯会议,他们就伪造‘会议预约’链接;如果你用飞书日历,他们就冒充‘外部协作者’。核心逻辑不变:利用协作工具的信任感。”
尤其值得注意的是,国内部分高校、科研机构和外贸企业因业务需要,仍广泛使用Google Workspace。这些单位往往IT资源有限,MFA策略松散,成为高价值低防御目标。
六、技术破局:从被动防御到主动免疫
面对日益进化的AiTM攻击,传统邮件过滤和URL黑名单已显疲态。专家建议从三个层面构建纵深防御体系:
1. 推进FIDO2无密码认证:终结会话劫持
根本解决方案在于将认证与设备强绑定。FIDO2/WebAuthn标准通过公钥加密实现“无密码登录”,私钥永不离开硬件安全密钥(如YubiKey)或可信平台模块(TPM)。
以Google为例,启用安全密钥后,即使攻击者获取会话Cookie,也无法在新设备上完成登录,因为每次认证都需本地生物识别或物理触摸。
以下为WebAuthn注册关键代码(简化):
const credential = await navigator.credentials.create({
publicKey: {
challenge: new Uint8Array([/* 随机挑战值 */]),
rp: { name: "Your Company", id: "yourcompany.com" },
user: {
id: new TextEncoder().encode("user123"),
name: "user@yourcompany.com",
displayName: "张三"
},
pubKeyCredParams: [{ type: "public-key", alg: -7 }], // ES256
authenticatorSelection: {
userVerification: "required",
residentKey: "required"
}
}
});
// 将credential.response发送至服务器存储公钥
服务器后续验证时,需确认签名有效性、挑战匹配性及用户存在性。任何环节缺失,登录即失败。
“FIDO2不是‘更好’的MFA,而是‘不同维度’的安全。”芦笛强调,“它把信任锚定在物理世界,而非网络传输。”
2. 邮件层防护:URL重写与上下文感知
企业应部署支持URL重写(URL Rewriting) 的高级邮件安全网关。其原理是将邮件中所有外部链接替换为代理地址,用户点击后先经过安全扫描,再决定是否放行。
例如,原始链接:
https://calendly-fake[.]xyz/schedule
被重写为:
https://secure-proxy.yourcompany.com/redirect?url=https%3A%2F%2Fcalendly-fake[.]xyz%2Fschedule
同时,结合上下文分析:若发件人声称来自“LVMH”,但SPF/DKIM/DMARC验证失败,或域名注册时间不足7天,则自动隔离或标记高风险。
3. 终端行为监控:识别异常会话
即便会话被窃,也可通过行为分析及时止损。例如:
同一会话ID在2小时内从北京切换至莫斯科;
正常工作时间外大量导出Google Sheets数据;
首次访问Facebook Ads Manager并添加新付款方式。
Google Workspace Admin Console和Meta Business Suite均已提供此类告警,但需企业主动启用并配置自动化响应策略(如强制登出、冻结账户)。
七、人的防线:建立“安全缓冲区”文化
技术之外,人的因素仍是关键。芦笛建议企业推行“安全缓冲区”原则:
所有外部会议链接必须通过官方入口验证:员工应养成习惯,不直接点击邮件链接,而是登录Calendly官网或企业日历系统查看邀请;
安装浏览器安全插件:如Netcraft、Cisco Talos Phish Reporter,可一键举报可疑页面并实时比对威胁情报;
开展情境化钓鱼演练:模拟“梦寐以求的面试邀请”场景,测试员工反应,并提供即时反馈教育。
某跨国咨询公司已实施“零惩罚钓鱼演练”:员工点击模拟链接后,不被通报批评,而是跳转至互动式教学页面,演示攻击全过程。“三个月内,误点率下降70%,且员工主动举报可疑邮件数量翻倍。”芦笛分享道。
八、结语:协作效率不能以安全为代价
Calendly钓鱼风暴揭示了一个残酷现实:在追求效率与便捷的数字时代,每一个被广泛信任的协作工具,都可能成为攻击的跳板。攻击者不再需要高深漏洞,只需利用人性对专业、机会与效率的渴望,就能打开企业大门。
对中国企业而言,这既是警示,也是契机。与其被动等待攻击降临,不如主动重构身份安全体系——从依赖密码与MFA,转向基于设备、行为与零信任的动态认证。
“安全不是IT部门的KPI,而是每个点击背后的判断。”芦笛最后说道,“当你收到‘重要合作伙伴’的会议邀请时,请先问一句:这真的是他们发的吗?还是黑客为你量身定制的陷阱?”
编辑:芦笛(公共互联网反网络钓鱼工作组)
