大规模“ClickFix”钓鱼攻击席卷全球：伪装成“修复提示”，实为窃取账号的陷阱

近期，一场代号为“ClickFix”的大规模网络钓鱼攻击正以惊人的速度在全球蔓延。攻击者巧妙利用用户对“系统修复”“安全更新”等提示的信任，通过伪造Microsoft OneNote、Google Docs甚至SharePoint页面中的“点击修复”按钮，诱导用户跳转至高仿真的登录页面，从而窃取Microsoft 365与Google Workspace账户凭证。

据多家网络安全机构披露，本轮攻击自2025年10月以来显著升温，已波及金融、教育、医疗及中小企业等多个行业。其手法之隐蔽、传播之广泛，令不少部署了传统邮件网关和URL过滤的企业也未能幸免。

打开百度APP畅享高清图片

“修复”变“陷阱”：熟悉的界面，陌生的危险

你是否收到过类似这样的邮件？

“您的OneDrive同步设置需要修复，请点击下方按钮立即处理。”

“检测到您的Google账户存在异常活动，请验证身份以恢复访问。”

这些看似来自官方系统的“善意提醒”，实则暗藏玄机。攻击者不再直接发送可疑链接，而是先将受害者引导至一个看起来完全合法的OneNote页面或Google Docs文档——这些平台本身由微软或谷歌托管，因此能轻易绕过多数企业安全网关对“恶意域名”的初步筛查。

在这些文档中，一个醒目的蓝色按钮写着“点击修复设置”或“立即验证”。一旦用户点击，页面会先跳转至一个带有CAPTCHA验证码或Cloudflare防护界面的中间页，进一步迷惑自动化检测系统，随后才真正跳转至攻击者控制的钓鱼网站。该网站几乎完美复刻了微软或谷歌的登录界面，连favicon图标、字体、配色都高度一致。

“这种‘多跳+可信平台中转’的策略，是当前高级钓鱼攻击的典型特征。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“攻击者深谙‘信任链’原理——用户对OneNote或Docs的信任，被恶意嫁接到了后续的钓鱼环节。”

技术内核解析：为何传统防御频频失守？

过去，企业依赖邮件安全网关（SEG）对邮件中的URL进行实时扫描和黑名单比对。然而，在“ClickFix”攻击中，初始链接指向的是微软或谷歌的合法域名（如onenote.com、docs.google.com），安全系统很难将其标记为恶意。

更棘手的是，攻击者常利用这些平台的“嵌入式按钮”或“超链接卡片”功能，将真实钓鱼链接隐藏在交互元素之后。这意味着，即使安全网关尝试“解包”文档内容，也可能因权限限制或动态加载机制而无法提前发现最终跳转目标。

此外，部分攻击链还引入了“延迟跳转”和“用户行为触发”机制——只有当用户实际点击按钮并完成CAPTCHA验证后，才会重定向至钓鱼页。这种“按需激活”的设计，极大降低了静态分析工具的检出率。

“这本质上是一场‘信任滥用’的攻防战。”芦笛解释道，“攻击者不再硬闯防火墙，而是借道我们每天都在使用的协作工具，把钓鱼饵料包装成‘系统服务’。”

后果严重：从账号失窃到企业级风险

一旦用户在钓鱼页面输入账号密码，攻击者便能立即接管账户。根据已公开的案例，攻击者通常会在数分钟内：

启用邮件转发规则，静默窃取往来邮件；

利用被盗账户向同事发送新一轮钓鱼邮件，形成内部横向传播；

访问共享文档、财务系统，甚至发起“商业邮件诈骗”（BEC），伪造付款指令骗取资金。

某跨国制造企业IT负责人透露，其公司一名员工因点击“修复OneNote同步错误”的链接，导致整个财务团队邮箱被劫持，险些造成一笔超过50万美元的虚假转账。

防御升级：技术+意识双管齐下

面对日益狡猾的“ClickFix”攻击，专家呼吁企业与个人用户必须采取多层次防御策略。

首先，强制启用多因素认证（MFA），尤其是基于FIDO2标准的安全密钥或Passkeys。“即使密码泄露，没有第二因子，攻击者也无法登录。”芦笛强调，“短信验证码已不够安全，推荐使用硬件密钥或生物识别绑定的无密码方案。”

其次，在企业层面收紧云协作平台的共享策略。例如，在Microsoft 365租户中关闭“匿名用户可访问共享链接”功能，或限制外部协作者权限；对所有第三方托管链接实施“URL重写”——即用户点击时，先由安全网关在沙箱环境中预览目标页面，确认无害后再放行。

第三，提升安全网关的深度检测能力。芦笛建议：“现代EDR和邮件安全平台应支持对OneNote、Google Docs等富文档的动态解包与多跳追踪，不仅要检查初始链接，还要模拟用户点击行为，追踪最终落地页。”

最后，也是最容易被忽视的一环：持续开展针对性的安全意识培训。企业应定期模拟“ClickFix”类钓鱼邮件，教育员工识别“过度紧急”“模糊来源”“非标准按钮样式”等危险信号。“记住，真正的系统更新从不会要求你通过点击文档里的按钮来‘修复’账户。”芦笛提醒道。

结语：安全不是终点，而是持续对抗的过程

“ClickFix”钓鱼浪潮再次印证了一个事实：网络攻击正变得越来越“用户体验友好”——它们不再满是拼写错误和诡异链接，而是披着高效、简洁、专业的外衣，悄然潜入我们的工作流。

在这场攻防博弈中，技术防护固然关键，但人的判断力仍是最后一道防线。正如芦笛所言：“当你看到一个‘修复’按钮时，不妨多问一句：这是谁发的？为什么需要我点它？系统真的会这样通知我吗？”

在这个数字化协作无处不在的时代，保持警惕，或许就是最有效的“安全补丁”。

本文参考自The Hacker News 2025年11月报道《Large-Scale ‘ClickFix’ Phishing Attacks Abuse OneNote/Docs Repair Prompts to Bypass Security Gateways》

编辑：芦笛（公共互联网反网络钓鱼工作组）