攻击者利用URL扫描服务包装钓鱼链接以绕过检测

攻击者正在利用电子邮件安全服务的URL包装实践来隐藏钓鱼链接，并为其恶意活动增加可信度。电子邮件安全服务通常会重写电子邮件消息中的URL，将其路由通过中间域进行扫描。虽然通过URL扫描服务重定向链接可能看起来违反直觉，但攻击者利用了这些服务开始检测和阻止钓鱼页面之前的延迟。

Cloudflare电子邮件安全团队的研究人员在过去两个月内发现了多个钓鱼活动，这些活动滥用了受Proofpoint和Intermedia.net服务保护的受损电子邮件账户。从这些账户发送的电子邮件中的URL被安全服务自动重写，指向诸如http://urldefense.proofpoint.com和http://url.emailprotection.link（Intermedia）等域名。

“链接包装是由Proofpoint等供应商设计的，旨在通过将所有点击的URL路由通过扫描服务来保护用户，允许它们在点击时阻止已知的恶意目的地，”Cloudflare研究人员在其攻击报告中写道。“虽然这对已知威胁有效，但如果包装的链接在点击时尚未被扫描器标记，攻击仍可能成功。”

这些恶意电子邮件的收件人更可能点击包装后的链接，假设它们已经经过安全服务的审查。同时，基于声誉的垃圾邮件过滤器可能无法阻止此类链接，因为它们似乎指向可信域名。

多层混淆

为了最大化其机会窗口，这些活动背后的攻击者采用了额外技术来隐藏其最终有效载荷。在一个活动中，钓鱼URL通过多个重定向域路由，然后被Proofpoint的链接重写服务包装，最后通过URL缩短器传递，增加了多层混淆。

钓鱼电子邮件的诱饵各不相同：带有访问消息按钮的虚假语音邮件通知、关于 allegedly 通过Microsoft Teams收到的消息的警报、关于通过Zix安全消息发送的安全文档的通知。但在每种情况下，经过一系列重定向后到达的最终登录页面都是一个伪造的Microsoft Office 365登录页面，旨在收集用户凭据。

“此活动对可信链接包装服务的滥用显著增加了成功攻击的可能性，”Cloudflare研究人员表示。“攻击者利用了用户对这些安全工具的内在信任，这可能导致更高的点击率。”

虽然利用URL安全扫描器的链接包装功能是一个有趣的发展，但滥用合法服务来隐藏恶意有效载荷既不是新的，也不太可能消失。无论我们谈论的是人类还是软件检查链接，检测都不应仅仅依赖于域名声誉。组织应培训员工如何识别钓鱼页面，如果它们登陆到这些页面，自动化工具应使用更复杂的内容检测算法来识别此类页面。

Cloudflare报告包含可用于为这些活动构建检测签名的妥协指标和电子邮件检测指纹。