揭秘 2023 年最常見的網絡釣魚方法

大多數電子郵件安全過濾器非常有用，確保垃圾郵件永遠不會溜進收件箱。然而，當涉及到封鎖釣魚攻擊時，它們的效果要差得多，這是一個更複雜的問題。目前的釣魚方法非常棘手，它們能夠繞過電子郵件安全過濾器，並攻擊您的客戶和員工。

一封精心製作的釣魚郵件在很多情況下看起來幾乎和一封真實的來自知名公司的郵件完全相同。通常人們會點擊釣魚鏈接，認為它們與知名巨頭（如Microsoft和PayPal）有關，以為他們正在登錄到真實帳戶。在某些釣魚攻擊中，受害者會不自覺地將他們的憑證傳送給在線詐騙者。更常見的情況是，受害者點擊釣魚鏈接或附件，導致在其設備上注入惡意軟件或勒索軟件。

下面所說的釣魚方法是一些極其複雜的混淆方法，線上詐騙者用來繞過Office 365安全防護。很可能，它們對於客戶來說極難被發現，因此可以在不引起任何實質性問題的情況下繞過Exchange Online Protection（EOP）和安全電子郵件閘道（SEG）。

This Article Contains:

應用真實連結

大多數電子郵件過濾器定期分析已知的有害URL。為了避免被識別，釣魚者將真實連結插入到他們的釣魚郵件中。很多電子郵件過濾器會掃描一系列正常的連結，並得出結論認為該郵件是安全的。在最新的由HowToFix.Guide揭示的Microsoft Office 365釣魚¹郵件中，釣魚者粘貼了一個正常的回覆至電子郵件地址，以及真實連結到Microsoft的社區、法律和隱私頁面。他們還添加了一個鏈接到Microsoft的聯繫偏好頁面，客戶可以在其中更新其像SharePoint和OneDrive等程序的選定通訊參數。

在Vade Secure識別出的威爾斯福高爾夫釣魚郵件中，釣魚者甚至粘貼了一個鏈接到該銀行的詐騙數據中心。

混合真實和惡意代碼

已知的釣魚郵件或惡意感染具有可以被EOP識別的簽名。混淆簽名的一種方法是混合真實和惡意代碼。例如，Sophisticated Microsoft phishing網頁從真實的Microsoft頁面（如Office 365登錄頁面）中獲取CSS和JavaScript。其他方法可能涉及隨機編碼字符，提供不可見文本，粘貼空白字符，並將隨機參數指定給HTML屬性。混合良好和惡意代碼的目的是確保每封郵件對過濾器而言都是獨特的。

應用重定向和鏈接縮短服務

在釣魚中，時間很重要。為了欺騙潛在的受害者相信沒有什麼是不尋常的，釣魚者往往會在釣魚攻擊後將它們重定向到一個正常的網頁。例如，一旦受害者在危險的網頁上提供了Office 365登錄詳細信息，他們將被轉發到Office 365.com或另一個微軟所有的資源。

另一種重定向濫用的示例是“定時炸彈”，這是一種將URL重定向從合法資源精心制作成釣魚網頁的方法。定時炸彈之所以極其有效，是因為在傳遞時的郵件中包含了一個正常的微軟鏈接，這時它在首次被電子郵件過濾器掃描時；重定向到釣魚網站只有在郵件成功到達受害者設備之後才會形成。

在另一種旨在混淆一個知名釣魚鏈接的方法中，釣魚者會借助URL縮短服務，例如TinyURL和Bitly。這些免費工具將長URL修改為縮短的鏈接，這些別名與初始URL毫無相似之處。大多數檢查簽名的電子郵件過濾器在縮短的釣魚URL中無法識別它。

混淆公司標誌

與知名釣魚頁面的其他組件相似，標誌可能具有某些HTML屬性，這些屬性可以被搜索簽名的電子郵件過濾器識別出來。為了防止被檢測，釣魚者會修改公司標誌，以確保它們對人眼是不可見的，但對過濾器來說是獨特的。例如，通過修改HTML參數，如顏色或形狀，只需更改一個字符，簽名將幾乎與已知的釣魚頁面相同，因此絕對是獨特的。這種微小的修改足以欺騙檢測惡意數據但無法像人類一樣分析圖像的電子郵件過濾器。

用少量內容或過多噪音欺騙過濾器

某些在線詐騙者通過在釣魚郵件中添加少量或幾乎沒有內容來避免被檢測。其中一種攻擊的類型我們經常揭示，即使用圖像代替文本，盡管對於客戶來說這通常不太明顯。這是2018年揭示的大規模敲詐勒索²郵件中常見的方法。由於沒有內容可以研究，過濾器可能會被欺騙，認為郵件根本不代表任何風險。在下面的情況下，您所看到的文本實際上是一張圖片。