链接式网络钓鱼：可信域如何成为威胁载体

网络钓鱼仍然是网络安全最持久的威胁之一，不是因为防御者没有进化，而是因为攻击者适应的速度更快。

如今，最有效的广告活动不仅仅是建立在欺骗电子邮件或可疑域名的基础上。他们采用了一些更为隐秘方式：信任我们每天使用的工具和服务，达成零小时网络钓鱼的目的。

链式网络钓鱼的兴起

传统的网络钓鱼依赖于容易识别的危险信号，如可疑的发件人和可疑的url。但现代网络钓鱼已经成熟。攻击者现在部署链式序列，在获取凭证之前，通过可信的基础设施从电子邮件中引导受害者。

员工可能会收到来自谷歌Drive或Dropbox的链接。乍一看，没什么不寻常的。但在点击之后，用户会被悄无声息地引导到一系列提示中，每个提示看起来都是可信的，直到他们在不知情的情况下将业务必需的凭据交给攻击者。

这种技术，我们称之为链式网络钓鱼，依赖于利用企业工具允许的合法平台和信誉良好的域，而IT安全团队却没有注意到。

浏览器网络钓鱼保护与保持警惕

实时阻止网络钓鱼攻击，其实应该从浏览器内部开始。浏览器已经成为知识工作者世界的中心。从代码审查到人力资源任务，几乎每个操作都在浏览器选项卡中开始和结束。

这种集中化为攻击者提供了一个可以利用的单一表面，但它却受到了极大的保护。当链接似乎来自已知域并遵循预期行为时，即使是最具安全意识的员工也可能被欺骗。用户通常认为他们正在进行正常的活动，直到为时已晚。

利用合法链接，通过电子邮件身份验证检查，甚至插入captcha，攻击者绕过传统防御，使零小时网络钓鱼在未被发现的情况下成功。

验证码和验证步骤现在在日常浏览中如此普遍，攻击者利用它们作为社会工程策略，不仅在网络钓鱼活动中，而且在其他基于浏览器的威胁中，如ClickFix。

使用被攻破的域、验证码和电子邮件验证的链接式鱼叉攻击示例

“已知安全”不再安全

这种转变凸显了一个事实：已知的安全信号不再是可靠的安全信号。事实上，它已经成为网络犯罪分子的完美伪装。要真正解决像链式网络钓鱼这样的威胁，我们需要超越静态黑名单和基于域的过滤。网络钓鱼防护的未来在于实时分析网页和用户与网页的交互。

一些用于链链网络钓鱼攻击的合法平台

当安全堆栈看不到威胁时

来自可信服务的网络钓鱼链接通常会通过电子邮件和网络过滤器。网络钓鱼网站的流量是允许畅通无阻的，因为域名不在情报提要上，其声誉也没有受到损害。由于没有部署恶意软件，只有凭证收集，端点工具没有什么可检测的。

尽管有分层防御，比如：

·安全电子邮件网关（seg）

·DNS过滤

·安全web网关（swg）

·EDR/AV

·本地浏览器保护

大多数组织仍然很脆弱。因为这些工具旨在阻止已知的恶意网络行为，并且端点解决方案对凭证收集web表单一无所知。对合法域名的微妙滥用，加上额外的规避技术，导致用户成为零小时网络钓鱼的受害者。

防范网络钓鱼的真正攻击

一些sequenced攻击利用可信路径，将用户引导到容易绕过传统防御的网络钓鱼站点。等到输入证书的时候，通常已经太晚了，而且大多数组织不会预料到这些攻击。

为了有效地减轻这些威胁，人们需要将安全转移到风险出现的地方：浏览器。从根源上制止网络钓鱼，而不仅仅是在外围。

参考及来源：https://www.bleepingcomputer.com/news/security/chainlink-phishing-how-trusted-domains-become-threat-vectors/