行業新聞與部落格

梭子魚研究人員發現，網路犯罪分子正在濫用合法的 URL 保護服務來掩蓋惡意網路釣魚連結。

該公司觀察到網路釣魚活動使用三種不同的 URL 保護服務來掩蓋網路釣魚 URL，並將受害者傳送到旨在獲取其憑證的網站。

研究人員認為，迄今為止，這些活動已經針對了數百家公司，甚至更多。

URL 保護服務旨在防止使用者透過釣魚連結訪問惡意網站。每當電子信箱中包含 URL 時，該服務都會複製並重寫，然後將原始 URL 嵌入重寫的 URL 中。

如果電子信箱收件人點選此“包裝”連結，則會觸發對原始 URL 的電子信箱安全掃描。如果掃描結果正常，則使用者將被重定向到該 URL。如果掃描結果異常，則使用者將被阻止進入原始 URL。

URL 保護服務如何被利用

在這些新穎的攻擊中，威脅行為者透過被入侵的賬戶進入 URL 保護服務，並利用它重寫自己的網路釣魚 URL，從而隱藏其惡意性質 - 本質上是將該服務轉向自身。

這樣他們就可以冒充賬戶所有者，滲透和檢查他們的電子信箱通訊，以及從被入侵的賬戶傳送電子信箱。這種策略被稱為對話劫持。

此外，威脅行為者可以透過分析與帳戶相關的電子信箱或使用者電子郵件數位簽章中的連結來確定是否正在使用 URL 保護服務。

為了利用 URL 保護來重寫自己的釣魚 URL，研究人員指出，攻擊者要麼需要訪問內部系統來重寫釣魚 URL，這種情況“極其罕見”，要麼更有可能使用受感染的帳戶向自己傳送包含釣魚連結的出站電子信箱。

在傳送該郵件時，使用者所在組織安裝的 URL 保護服務將使用其自己的 URL 保護連結重寫釣魚 URL。這樣一來，攻擊者便可利用該連結隱藏惡意 URL，並將其傳送至隨後的釣魚電子信箱中，以該組織的員工為目標。

研究人員表示，URL 保護提供商可能無法驗證特定客戶使用的重定向 URL 是否確實由該客戶使用，還是由接管該帳戶的入侵者使用。

Barracuda 表示，利用 URL 保護服務可能是有意的，也可能是投機取巧的。

攻擊者繞過常見的安全控制

Barracuda 指出，許多傳統的電子信箱安全工具無法檢測到這些新穎的策略，而利用值得信賴的安全品牌更有可能給使用者一種虛假的安全感並點選惡意連結。

這項新研究遵循了威脅行為者繞過傳統安全控制以加強網路釣魚活動的其他觀察方式。

其中包括越來越多地使用 quiishing 攻擊——使用二維碼將目標引導至惡意網站而非 URL 的網路釣魚郵件。這種方法增加了收件人使用組織網路或防病毒保護之外的個人裝置訪問惡意網站的可能性。

另一種觀察到的策略是利用流行的合法服務的基礎設施進行網路釣魚活動，從而使安全工具更難區分來自該服務的惡意或良性電子信箱。