2025年电子邮件钓鱼技术演进:新旧攻击手法的融合与升级

本文详细分析了2025年电子邮件钓鱼攻击的最新趋势,包括PDF附件中的QR码、密码保护文档、日历提醒钓鱼、CAPTCHA验证链和多因素认证绕过技术,揭示了攻击者如何结合传统与创新手法提升攻击成功率。

引言

网络威胁不断演变,电子邮件钓鱼也不例外。威胁行为者不断提出新方法来绕过安全过滤器和规避用户警惕。与此同时,既有的——甚至被遗忘已久的——策略并未消失;事实上,有些正在获得第二次生命。本文详细介绍了2025年恶意行为者采用的一些非常规技术。

使用PDF文件:从QR码到密码

带有PDF附件的电子邮件在广泛和定向钓鱼活动中变得越来越常见。过去,大多数PDF文件包含钓鱼链接,而如今这些攻击的主要趋势是使用QR码。

包含钓鱼QR码的PDF附件

这代表了在电子邮件正文中直接使用QR码趋势的逻辑发展。这种方法简化了伪装钓鱼链接的过程,同时促使用户在手机上打开链接,而手机可能缺乏工作计算机的安全保护措施。

密码保护的PDF附件

包含嵌入PDF附件的钓鱼链接的电子邮件活动继续构成重大威胁,但攻击者越来越多地采用额外技术来逃避检测。例如,一些PDF文件被加密并受密码保护。

密码可能包含在带有PDF的电子邮件中,也可能在单独的消息中发送。从网络安全的角度来看,这种方法使快速文件扫描复杂化,而对于收件人来说,这给攻击者的努力增添了一层合法性,并可能被视为遵循高安全标准。因此,这些电子邮件往往能激发更多用户信任。

钓鱼与日历提醒

使用日历事件作为垃圾邮件技术是一种相对古老的策略,在2010年代末流行,但在2019年后逐渐消失。概念很简单:攻击者发送包含日历约会的电子邮件。电子邮件正文可能为空,但钓鱼链接隐藏在事件描述中。

当收件人打开电子邮件时,事件(连同链接)被添加到他们的日历中。如果用户在没有彻底审查的情况下接受了会议,他们随后会从日历应用程序收到关于它的提醒。因此,即使他们选择不直接在原始消息中打开链接,他们也有风险登陆钓鱼网站。

在2025年,钓鱼者复活了这种旧策略。然而,与2010年代末这些活动主要是针对Google Calendar设计的大规模群发邮件不同,它们现在被用于B2B钓鱼,并特别针对办公室职员。

验证现有账户

攻击者不仅在更新他们用于传递钓鱼内容的方法,还在更新钓鱼网站。通常,即使是最原始的电子邮件活动也会分发链接到利用新技术的页面。

语音消息钓鱼

例如,我们观察到一个极简主义的电子邮件活动,旨在看起来像是关于留给用户的语音消息的警报。电子邮件正文只包含几个句子,通常在"voice"一词中有一个空格,以及一个链接。该链接导向一个简单的登录页面,邀请收件人收听消息。

然而,如果用户点击按钮,路径不会导向单个页面,而是一系列使用CAPTCHA的验证页面。目的可能是逃避安全机器人的检测。

在反复证明自己不是机器人之后,用户最终登陆一个旨在模仿Google登录表单的网站。

账户验证与错误处理

此页面值得注意的是验证用户输入的Gmail地址,并在不是注册电子邮件时显示错误。

如果受害者输入了有效地址,那么无论密码正确与否,钓鱼网站都会显示另一个类似的页面,并带有指示密码无效的消息。在这两种情况下,点击"重置会话"会再次打开电子邮件输入表单。如果一个分心的用户尝试通过尝试不同的账户和密码来登录,所有这些最终都会落入攻击者手中。

MFA规避

由于许多用户使用多因素认证保护其账户,骗子试图想出不仅窃取密码,还窃取一次性代码和其他验证数据的方法。将用户重定向到旨在绕过MFA的网站的电子邮件钓鱼活动在复杂性上可能差异很大。一些活动采用原始策略,而其他活动则使用精心制作的消息,最初难以与合法消息区分。让我们看一个属于后一类的电子邮件。

模仿pCloud通知的钓鱼邮件

与大多数试图立即吓唬用户或以其他方式吸引他们注意的钓鱼电子邮件不同,这里的主题相当中性:来自安全云存储提供商pCloud的支持工单更新,要求用户评估服务质量。没有威胁或紧急行动呼吁。如果用户尝试跟踪链接,他们会被带到一个视觉上与原始登录表单相同的钓鱼登录表单,但有一个关键区别:攻击者使用不同的顶级域名p-cloud.online,而不是pcloud.com。

实时中继攻击

在用户与恶意网站表单交互的每一步,该网站都通过API与真实的pCloud服务通信。因此,如果用户输入未在服务中注册的地址,他们将看到错误,就好像他们正在登录pcloud.com一样。如果输入了真实地址,则会打开一次性密码(OTP)输入表单,当用户尝试登录时,pCloud也会请求此表单。

由于钓鱼网站将所有输入的数据中继到真实服务,试图欺骗验证过程将失败:如果输入随机组合,网站将响应错误。

真实的OTP由pCloud服务发送到用户在钓鱼网站上提供的电子邮件地址。

用户"验证"账户后,他们会进入密码输入表单;真实服务也会请求此步骤。在此步骤之后,钓鱼页面会打开pCloud网站的副本,攻击者获得对受害者账户的访问权限。我们必须称赞骗子:这是一个高质量的副本。它甚至包括一个带有与原始图像相同的默认图像的默认文件夹,这可能会延迟用户意识到他们被骗了。

结论

威胁行为者在其钓鱼活动和网站中越来越多地采用多样化的规避技术。在电子邮件中,这些技术包括包含QR码的PDF文档,它们不像标准超链接那样容易被检测到。另一项措施是附件的密码保护。在某些情况下,密码在单独的电子邮件中到达,为自动分析增加了另一层难度。攻击者正在用CAPTCHA保护他们的网页,他们甚至可能使用多个验证页面。同时,凭证收集方案本身正变得越来越复杂和令人信服。

为避免成为钓鱼者的受害者,用户必须保持警惕:

  • 对不寻常的附件(如密码保护的PDF或使用QR码而非指向公司网站链接的文档)持怀疑态度。
  • 在任何网页上输入凭据之前,验证URL是否与合法在线服务的地址匹配。

建议组织为员工进行定期的安全培训,使他们了解威胁行为者使用的最新技术。我们还建议实施可靠的电子邮件服务器安全解决方案。例如,Kaspersky Security for Mail Server检测并阻止本文描述的所有攻击方法。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次