2025年电子邮件钓鱼技术演进:从QR码到MFA规避

本文详细分析了2025年电子邮件钓鱼攻击的最新演变趋势,包括PDF附件中的QR码钓鱼、密码保护文档、日历提醒钓鱼、CAPTCHA验证链以及针对多因素认证的规避技术,揭示了攻击者如何复用和改良传统手法。

引言

网络威胁不断演变,电子邮件钓鱼也不例外。威胁行为者不断提出新方法来绕过安全过滤器并规避用户警惕性。与此同时,成熟——甚至被遗忘已久——的策略并未消失;事实上,有些正在获得第二次生命。本文详细介绍了恶意行为者在2025年采用的一些不寻常技术。

使用PDF文件:从QR码到密码

带有PDF附件的电子邮件在广泛和定向钓鱼活动中变得越来越常见。过去,大多数PDF文件包含钓鱼链接,而如今这些攻击的主要趋势是使用QR码。

这种方法代表了直接在电子邮件正文中使用QR码趋势的逻辑发展。这种方法简化了伪装钓鱼链接的过程,同时促使用户在手机上打开链接,而手机可能缺乏工作计算机的安全保护措施。

包含嵌入PDF附件中钓鱼链接的电子邮件活动继续构成重大威胁,但攻击者越来越多地采用额外技术来逃避检测。例如,一些PDF文件被加密并受密码保护。

密码可能包含在带有PDF的电子邮件中,也可能在单独的消息中发送。从网络安全的角度来看,这种方法使快速文件扫描复杂化,而对于收件人来说,这赋予了攻击者努力一种合法性氛围,并可能被视为遵守高安全标准。因此,这些电子邮件往往能激发更多用户信任。

钓鱼和日历提醒

使用日历事件作为垃圾邮件技术是一种相对古老的策略,在2010年代末流行,但在2019年后逐渐消失。概念很简单:攻击者发送包含日历约会的电子邮件。电子邮件正文可能为空,但钓鱼链接隐藏在事件描述中。

当收件人打开电子邮件时,事件被添加到他们的日历中——连同链接。如果用户在没有彻底审查的情况下接受会议,他们稍后会从日历应用程序收到关于它的提醒。因此,即使他们选择不直接在原始消息中打开链接,他们也有风险登陆钓鱼网站。

在2025年,钓鱼者复活了这种旧策略。然而,与2010年代末这些活动主要是针对Google Calendar设计的大规模邮件发送不同,它们现在被用于B2B钓鱼,并特别针对办公室职员。

验证现有账户

攻击者不仅在更新他们用于传递钓鱼内容的方法,还在更新钓鱼网站。通常,即使是最原始的电子邮件活动也会分发链接到利用新技术的页面。

例如,我们观察到一个极简主义的电子邮件活动,旨在看起来像关于留给用户的语音邮件的警报。电子邮件正文只包含几个句子,通常在“voice”一词中有一个空格,以及一个链接。该链接导向一个简单的着陆页,邀请收件人收听消息。

然而,如果用户点击按钮,路径不会导向单个页面,而是采用CAPTCHA的验证页面链。目的可能是逃避安全机器人的检测。

在反复证明自己不是机器人之后,用户最终登陆一个旨在模仿Google登录表单的网站。

此页面的显著之处在于验证用户输入的Gmail地址,并在不是注册电子邮件时显示错误。

如果受害者输入有效地址,那么无论密码正确与否,钓鱼站点将显示另一个类似页面,带有指示密码无效的消息。在这两种情况下,点击“重置会话”会再次打开电子邮件输入表单。如果一个分心的用户尝试通过尝试不同账户和密码登录,所有这些最终都会落入攻击者手中。

MFA规避

由于许多用户使用多因素认证保护其账户,骗子试图想出方法不仅窃取密码,还窃取一次性代码和其他验证数据。将用户重定向到旨在绕过MFA的站点的电子邮件钓鱼活动在复杂性上可能有显著差异。一些活动采用原始策略,而其他活动使用精心制作的消息,最初难以与合法消息区分。让我们看一个属于后一类的电子邮件。

与大多数试图立即吓唬用户或以其他方式吸引他们注意的钓鱼电子邮件不同,这里的主题相当中性:来自安全云存储提供商pCloud的支持票更新,要求用户评估服务质量。没有威胁或紧急行动呼吁。如果用户尝试跟踪链接,他们将被带到一个视觉上与原始相同的钓鱼登录表单,但有一个关键区别:攻击者使用不同的顶级域名p-cloud.online,而不是pcloud.com。

在用户与恶意站点上表单交互的每一步,该站点都通过API与真实的pCloud服务通信。因此,如果用户输入未在服务中注册的地址,他们将看到错误,就像他们正在登录pcloud.com一样。如果输入真实地址,则会打开一次性密码(OTP)输入表单,当用户尝试登录时,pCloud也会请求此表单。

由于钓鱼站点将所有输入的数据中继到真实服务,试图欺骗验证过程将失败:如果输入随机组合,站点将响应错误。

真实的OTP由pCloud服务发送到用户在钓鱼站点提供的电子邮件地址。

用户“验证”账户后,他们登陆密码输入表单;真实服务也请求此步骤。在此步骤之后,钓鱼页面打开pCloud网站的副本,攻击者获得对受害者账户的访问权限。我们必须赞扬骗子:这是一个高质量的副本。它甚至包括一个带有与原始相同默认图像的默认文件夹,这可能会延迟用户意识到他们被欺骗。

结论

威胁行为者在其钓鱼活动和网站中越来越多地采用多样化的规避技术。在电子邮件中,这些技术包括包含QR码的PDF文档,它们不像标准超链接那样容易被检测。另一种措施是附件的密码保护。在某些情况下,密码在单独的电子邮件中到达,为自动化分析增加了另一层难度。攻击者正在用CAPTCHA保护他们的网页,他们甚至可能使用多个验证页面。同时,凭证收集方案本身正变得更加复杂和令人信服。

为避免成为钓鱼者的受害者,用户必须保持警惕:

  • 对不寻常的附件,如密码保护的PDF或使用QR码而非指向公司网站链接的文档,持怀疑态度。
  • 在任何网页上输入凭据之前,验证URL是否与合法在线服务的地址匹配。

组织建议为员工进行定期安全培训,以使他们了解威胁行为者使用的最新技术。我们还建议实施可靠的电子邮件服务器安全解决方案。例如,Kaspersky Security for Mail Server检测并阻止本文中描述的所有攻击方法。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次