为什么安全网关一口咬定这封邮件“干净”,员工点开的瞬间整个微软365账号却像没锁的门一样敞开了?最新一波瞄准欧美企业的EvilTokens钓鱼活动,正用“幽灵钓鱼”手段捅出一个巨大的邮件安全盲区。它的核心策略就一条:把真正的恶意页面藏进浏览器解密瞬间,让传统URL检测在初始阶段抓到的只是一张空白的“安全”通行证。
一图带你拆开这个盲区的三层逻辑。最外层是邮件与初始链接,它们经过静态扫描时几乎不触发告警,因为攻击者用微软设备码钓鱼作为掩护——受害者看到的是完全正规的微软登录授权流程,不需要输入密码,只是在页面上点击“批准”或输入一个设备码。中间层是浏览器内的动态解密:钓鱼页面的HTML被AES-GCM算法加密,只有浏览器本地执行脚本后才会把DOM里藏着的钓鱼界面渲染出来。最里层是失控的微软365权限,账号一旦通过设备码授权,攻击者就能读取邮件、全局通讯录、SharePoint和Teams中的文件,而且完全不需要知道密码。这三个层次之间的“可见性断层”,正是静态URL检测和网络层控制集体失灵的原因。
![]()
再往细里看,这波攻击的隐藏手段相当刁钻。攻击者发送的邮件链路本身不包含钓鱼表单,而是一个普通的重定向或微软认证服务的URL。邮件网关在抓取响应做预判时,看到的只是空白页或一个加密的脚本标签,AES-GCM密文在没有正确密钥和浏览器执行环境的情况下就是一串乱码。这也意味着,安全团队接到的告警可能带上“未发现恶意内容”的标记,而实际上员工电脑上已经弹出了一个以假乱真的微软登录页面。从ANY.RUN交互式沙箱里捕获的完整攻击流来看,这个页面会在解密后提示用户“需要验证设备以继续访问”,一旦用户完成设备码授权,攻击者立刻获得一个API令牌,可以用Graph API静默拉取整个租户的数据。
这样的盲区一旦被利用,安全团队面临的不是单一告警,而是一连串连锁麻烦。最先出现的是微软365账号暴露窗口被拉长,当网关说“没检查出问题”时,响应人员可能要等员工上报异常登录才能介入。调查节奏的滞后又导致银行级敏感数据的渗出,比如财务主管的往来邮件、HR的员工信息表、采购合同附件,这些都可能被悄悄下载。与此同时,告警因证据不完整被升级到高级分析师手里,调查人员需要手动拼凑代理日志、浏览器历史记录和Azure AD登录事件,工作量直线上升。更棘手的是,由于缺乏浏览器端的DOM截图和页面渲染过程的证据,团队难以确认同一批基础设施是否还发动了其他攻击,封堵范围变得模糊不定。
哪个行业正在承受最猛烈的幽灵钓鱼?根据ANY.RUN基于15000个组织的沙箱提交数据,2026年各行业的钓鱼暴露率足够让人捏把汗:咨询业高达75.6%,也就是说每四家企业里就有三家曾经中招或高危接触;金融服务业72.8%,制造业71.9%,科技业67.9%,银行业66.7%,连托管安全服务商自身也达到66.1%。这些行业有一个共同点:海量的外部协作和频繁的微软365授权请求,让设备码钓鱼的伪装格外自然。咨询师经常收到客户发来的“共享文档请求”,银行员工习惯了多重验证弹窗,MSSP分析师每天要处理数十条租户授权通知,攻击者正好利用这种操作惯性,让恶意授权混在正常业务流程里轻易得手。
一个微软365账号被突破,意味着什么?它不光是邮箱被看光,而是整个云办公入口的失守。攻击者可以冒充CFO发出紧急付款指令,制造商业邮件诈骗;也可以翻阅Teams聊天记录找出即将交割的项目细节,抢先进行内幕交易;还能删改SharePoint上的审计文件,为后续的勒索行为铺路。越长时间没被发现,单一账号沦陷演变成全公司级事故的概率就越大。那些暴露率超过70%的行业,本质上是在和时间赛跑——攻击者利用解密前的“静默期”争取到的每分每秒,都在拉高事件响应成本和声誉损失。
要让幽灵现形,关键就在于补上那个浏览器内的可视化断层。现在最有效的办法是把可疑链接扔进支持浏览器运行时数据检查的沙箱里,而不是只靠域名信誉或黑名单。在像ANY.RUN交互式沙箱这类环境中,安全人员可以模拟真实员工点击链接,观看整个DOM解密的视觉效果,截取钓鱼页面的界面,提取出设备码授权过程中用到的域和工具包指纹。这样不仅能在攻击造成实质性损伤前阻断令牌,还能拿到完整的入侵指标和页面渲染证据,让后续的根除和基础设施封锁有据可依。
幽灵钓鱼没什么玄学,它不过是打了一个时间差:邮件层说不作恶,浏览器层却偷偷开门。你看,一旦把“安全检查”从URL响应前移一步,放到浏览器渲染完成之后,这个攻击就像灯全亮时的隔间磨砂玻璃,一览无余。别等账单来了才想起补裂缝。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.