北京
“您有一份新的OneDrive共享文档”——这样一条看似平常的通知,正成为新一轮网络钓鱼攻击的“敲门砖”。网络安全媒体CyberPress最新披露,攻击者正利用已被攻陷的真实Microsoft 365账户,向企业员工发送伪造的文件共享邮件,诱导其点击链接并登录虚假登录页面,最终导致账户凭证被盗、企业数据外泄。
与以往粗暴的“假网站+陌生域名”不同,这次的钓鱼手法更加隐蔽、更具欺骗性:邮件来自真实企业邮箱,链接指向微软官方域名,甚至连SPF/DKIM验证都能通过。这意味着,传统的邮件网关和域名黑名单策略,在这场攻击面前几乎“形同虚设”。
打开百度APP畅享高清图片
“信任链”被攻破:黑客用“自己人”的身份作案
“这次攻击最危险的地方,是它利用了‘信任传递’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出,“你收到一封来自‘市场部张经理’的邮件,说有份合同需要你查看,链接还是onedrive.com开头——你会怀疑吗?大多数人不会。”
攻击流程如下:
攻陷源头:黑客首先通过钓鱼或其他手段,成功入侵某个企业的Microsoft 365账户(如离职员工未注销的账号,或密码简单的低权限账户)。
伪造共享:利用该账户创建一个真实的OneDrive或SharePoint文件共享链接,但邮件正文或评论区中嵌入一个“查看加密文档”的按钮,指向外部仿冒登录页。
精准投放:向该企业内部员工或关联合作伙伴发送邮件,内容多为“项目资料”“财务报表”“会议纪要”等高相关性主题。
二次跳转:用户点击“登录查看”按钮后,被引导至一个高度仿真的微软登录页面(可能是静态克隆,也可能是支持MFA劫持的AiTM中间人代理),输入账号密码后,凭证即被窃取。
“这就像小偷先混进公司当了临时工,然后用公司邮箱给同事发‘重要文件’。”芦笛比喻道,“收件人看到发件人可信、域名可信,警惕性自然下降。”
技术升级:更聪明的钓鱼,更难防的陷阱
此次攻击在技术层面也有多项“进化”:
短期链接,减少暴露:攻击者设置的共享链接有效期极短(如24小时内失效),既降低被安全团队发现和取证的概率,也制造“紧迫感”促使用户尽快点击。
多端适配,优化体验:钓鱼页面会根据用户设备(手机或电脑)自动调整布局,移动端简化输入字段,桌面端模拟完整登录流程,提升欺骗成功率。
自动化横向扩散:一旦获取新账户凭证,攻击者的脚本会自动登录邮箱,扫描收件箱中的邮件线程,模仿发件人风格向更多联系人发送钓鱼邮件,实现“滚雪球式”传播。
传统防线为何失效?
长期以来,企业防御钓鱼主要依赖三道“防火墙”:
邮件网关过滤:拦截来自黑名单域名或伪造发件人的邮件;
URL扫描:识别并阻断指向恶意网站的链接;
用户培训:教育员工不点击可疑链接。
但在这次攻击中,这三道防线几乎全部被绕过:
发件人是真实账户,SPF/DKIM验证通过,邮件网关无法识别;
初始链接是微软官方域名(如https://contoso.sharepoint.com/...),URL扫描显示“安全”;
用户看到的是“同事分享文件”,心理防线被轻易突破。
“这标志着钓鱼攻击已从‘广撒网’进入‘精准渗透’阶段。”芦笛说,“攻击者不再追求量,而是追求‘信任深度’。”
如何应对?专家建议“四维防御”
面对这种“高仿+内鬼”式的攻击,芦笛提出了四项关键防御策略:
1. 启用基于上下文的条件访问(Conditional Access)
企业应配置Microsoft Entra ID(原Azure AD)的条件访问策略,对高风险登录行为进行限制。例如:
非工作时间或非常用地登录,要求多重验证;
未注册设备或不合规设备,禁止访问敏感资源;
新设备首次登录,强制绑定安全密钥。
“不能让一个账号在任何时间、任何地点、任何设备上都畅通无阻。”芦笛强调,“要让系统学会‘问问题’:你是谁?你在哪?你用什么设备?”
2. 部署云访问安全代理(CASB),监控异常行为
CASB工具能深入分析云应用(如Microsoft 365)的使用行为,识别异常模式。例如:
某账户在短时间内创建大量共享链接;
同一用户从多个地理位置频繁登录;
邮箱突然出现大量外发邮件或自动转发规则。
“这些行为本身不一定违法,但结合上下文,可能是失陷信号。”芦笛说。
3. 强化对“二跳链接”的检测
攻击的关键在于“二次跳转”——从合法共享页跳转到钓鱼页。企业应特别关注邮件中“评论区”“按钮”“附件预览”等位置的外部链接,即使主URL安全,也要对跳转目标进行深度扫描。
“未来的检测不能只看‘第一跳’,更要盯住‘第二跳’。”芦笛指出。
4. 推动无密码登录,降低凭证价值
密码是攻击者的“终极目标”。芦笛建议企业逐步淘汰传统密码,转向FIDO2安全密钥、Windows Hello或微软验证器等无密码方案。
“如果黑客拿不到密码,中间人代理也就失去了意义。”他说,“无密码不仅是便利,更是安全的必然方向。”
用户如何自保?记住两个“异常信号”
对于普通员工,芦笛提醒关注两个细节:
“二次登录”是否合理?如果你已经登录了微软账户,却再次被要求输入密码查看共享文件,这很可疑。正常共享应直接打开。
共享描述是否模糊?如“请查收文件”“详见附件”而无具体标题或上下文,需提高警惕。
“遇到不确定的共享,不要点击,而是通过Teams或电话直接联系发件人确认。”他说。
从“链接信誉”到“行为连续性”:安全思维需升级
最后,芦笛呼吁,企业安全指标应从“单点链接信誉”转向“会话行为连续性”检测。
“我们不能再只看‘这个链接是不是坏的’,而要问‘这个用户的操作流程是否正常’。”他说,“比如,他刚登录就创建了20个共享链接,这合理吗?”
这场利用OneDrive共享的钓鱼攻击,再次提醒我们:在云时代,信任本身就是最脆弱的环节。唯有技术、策略与人的警惕性三者结合,才能筑起真正的防线。
编辑:芦笛(公共互联网反网络钓鱼工作组)
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
