據(jù)網(wǎng)絡(luò)安全公司Barracuda近期的一項研究報告，一些攻擊者正濫用電子郵件安全服務(wù)隱藏惡意鏈接并傳播釣魚郵件，到目前為止這些攻擊已針對至少數(shù)百家公司。

　　這些攻擊主要利用了電子郵件安全網(wǎng)關(guān)中的URL保護(hù)功能，該功能能夠檢查鏈接是否指向已知的網(wǎng)絡(luò)釣魚或惡意軟件網(wǎng)站，并根據(jù)結(jié)果阻止對該鏈接的訪問或?qū)⒄埱笾囟ㄏ虻阶罱K目的地，以此來保護(hù)用戶免受釣魚或惡意軟件威脅。

　　從2024 年 5 月中旬開始，Barracuda觀察到網(wǎng)絡(luò)釣魚攻擊利用三種不同的 URL 保護(hù)服務(wù)來掩蓋他們的網(wǎng)絡(luò)釣魚鏈接，且提供這些保護(hù)服務(wù)的都是信譽(yù)良好的合法品牌。

　　目前還不清楚這些攻擊者是如何生成指向其虛假網(wǎng)站的重寫 URL， 不過，研究人員推測，他們很可能入侵了企業(yè)內(nèi)部使用這些服務(wù)的電子郵件賬戶，向這些被入侵的賬戶發(fā)送電子郵件(或從這些賬戶發(fā)出電子郵件)，以強(qiáng)制重寫URL。 隨后，只需從生成的電子郵件信息中獲取重寫的URL，并重復(fù)使用來制作新的網(wǎng)絡(luò)釣魚電子郵件即可。

　　在目標(biāo)域被標(biāo)記為惡意域之前，這些 URL 將在多個用戶的點擊中無限期地發(fā)揮作用。 一些使用這種技術(shù)的釣魚電子郵件可以偽裝成微軟的密碼修改提醒或 DocuSign 的文檔簽名請求。

　　偽裝成微軟賬戶密碼修改的釣魚郵件

　　URL保護(hù)功能在實施過程中存在一些爭議，最大的一項缺陷是該功能的黑名單制度，難以有效快速更新最新生成的網(wǎng)絡(luò)釣魚網(wǎng)站。因為攻擊者已經(jīng)擅長使用便宜的域名生成大量釣魚URL，當(dāng)某一個鏈接被標(biāo)記為網(wǎng)絡(luò)釣魚網(wǎng)站時，可能已經(jīng)產(chǎn)生了數(shù)百名受害者。

　　另一個缺陷在于該功能會破壞加密電子郵件簽名，因為安全電子郵件網(wǎng)關(guān)會通過更改鏈接來修改原始電子郵件。 例如，微軟為 Office 365 用戶提供了名為 "安全鏈接 "的功能，在 Outlook 和 Teams 等應(yīng)用程序中，收到的電子郵件和信息中的鏈接會被重寫為 na01.safelinks.protection.outlook.com/?url=[original_URL]，這一方式過去曾受到安全公司的批評，因為它實際上沒有執(zhí)行動態(tài)掃描，且很容易被基于 IP 的流量重定向繞過，或者被使用來自合法和可信域的開放重定向 URL 繞過。

　　目前，傳統(tǒng)的電子郵件安全工具可能很難檢測到這些攻擊，最有效的防御是通過多層級安全的方法，全面檢測和阻止異?；蛞馔饣顒印?/p>