你有没有收到过这样一封邮件:“您的OneDrive文件即将过期,请点击 microsоft.com 查看”?看起来很普通,对吧?但如果你仔细看那个网址——注意,第二个“o”其实不是英文字母“o”,而是来自西里尔字母的“о”。这个细微差别,正是黑客设下的陷阱。
近日,全球网络安全厂商Barracuda发布最新威胁预警:一种利用“巧妙URL”技术的新型钓鱼攻击正在全球范围内快速蔓延。这类攻击不再依赖明显的恶意域名或拼写错误,而是通过一系列高明的链接伪装技巧,成功绕过传统安全系统,让普通用户甚至IT管理员都难以察觉。
“看不见”的钓鱼:黑客如何把链接“变魔术”?
与过去那种“micosoft.com”“g00gle.com”等一眼就能识破的拼写错误不同,如今的钓鱼链接正变得越来越“像真的”。
Barracuda的监测数据显示,近期钓鱼攻击在URL层面采用了多种高级欺骗手段:
同形异体字符(Homograph)攻击
黑客使用视觉上与拉丁字母几乎一模一样的其他语言字符,比如用西里尔字母的“о”(U+043E)替代英文字母“o”(U+006F)。虽然人眼无法分辨,但浏览器会将其识别为不同字符,从而指向完全不同的网站。
多重重定向链
攻击者先将用户引向广告跟踪链接、短网址服务(如bit.ly),再跳转至开放重定向漏洞站点(如某些未正确配置的官网跳转功能),最终才抵达真正的钓鱼页面。这种“绕山路”式的跳转,极大削弱了企业安全网关的静态检测能力。
URL填充(URL stuffing)
在恶意链接中插入大量看似合法的域名片段,比如:https://www.google.com.redirect.secure-login.verify.your-account-update.net。这种设计让链接看起来“沾了光”,降低用户警惕性。
云服务“洗白”
攻击者先将钓鱼入口设在Google Forms、SharePoint、Dropbox等可信云协作平台上,这些平台本身被企业白名单放行。用户点击后,再通过脚本跳转至伪造的登录页,实现“合法身份掩护”。
时间窗与地理围栏投放
恶意链接只在特定时间段(如工作日9:00-17:00)或特定地区(如某国IP段)激活,其余时间返回空白页或正常内容,有效规避自动化沙箱检测。
“这就像小偷穿了件快递员的制服上门,门卫一看:‘哦,是送包裹的’,就放行了。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时比喻道,“黑客现在不拼技术多高,而是拼‘演技’有多真。”
为什么传统防御“失灵”了?
长期以来,企业主要依赖两种方式防御钓鱼:一是黑名单机制,把已知恶意域名加入阻止列表;二是模式匹配,识别可疑字符组合。
但问题在于,这些新型钓鱼链接往往使用全新注册的域名,且每个攻击只用一次,生命周期极短,传统黑名单根本来不及收录。而模式匹配系统也难以识别“microsоft.com”这种视觉欺骗,因为从技术角度看,它只是一个合法的Unicode域名。
“过去我们靠‘记住坏人长什么样’来抓贼,但现在贼学会了整容、换装、还拿别人的身份证。”芦笛说,“旧方法跟不上攻击节奏了。”
更麻烦的是,这些精心设计的钓鱼页面往往与真实登录页几乎一模一样,用户一旦输入账号密码,信息立刻被窃取。更有甚者,会连续弹出多个MFA(多因素认证)验证请求,直到用户不堪其扰而点击“批准”,这就是所谓的“MFA疲劳攻击”。
Barracuda报告指出,此类攻击导致凭证泄露和账户接管的成功率显著上升,部分企业已出现核心系统被渗透的情况。
技术科普:URL背后的“身份迷局”
要识破这些“巧妙URL”,我们得先搞懂几个关键概念:
顶级有效注册域(eTLD+1):这是判断一个网站“真正归属”的核心。比如在 mail.google.com 中,有效注册域是 google.com。而在 google.com.phishing-site.net 中,真正控制者是 phishing-site.net。用户常误以为“只要前面有google就是真的”,实则大错特错。
开放重定向漏洞:某些网站提供跳转功能(如 example.com/redirect?url=xxx),若未严格校验目标地址,攻击者可利用其跳转至恶意站点,使链接看起来“出身良好”。
沙箱逃逸:自动化检测系统(沙箱)通常模拟点击链接,但若恶意内容只在真实用户环境或特定地区触发,沙箱就可能“看漏”。
专家建议:从“看表象”转向“判本质”
面对这场“链接攻防战”,芦笛结合Barracuda报告,提出五项关键防御策略:
1. 引入URL风险评分机制
采用基于自然语言处理和视觉相似度算法的工具,自动评估链接风险。例如,检测“microsоft.com”中是否混入非拉丁字符,或识别“google”出现在非主域名位置的异常情况。
2. 启用浏览器级实时警告
部署浏览器扩展或安全插件,在用户点击前实时渲染并高亮显示真实域名。例如,将 phishing.google.com 中的“phishing”标红,提醒用户注意。
3. 实施“点击前展开”策略
企业安全网关应在用户点击前自动“解开”短链和重定向链,还原最终目标地址,并进行风险评估。若为高危链接,则延迟加载或弹出警告。
4. 高价值账户启用强认证
对高管、IT管理员等重点岗位,强制使用FIDO2硬件密钥或基于上下文的条件验证(如仅允许在公司IP段登录),避免仅依赖密码+短信验证码。
5. 增强品牌可信度可视化
部署DMARC邮件认证协议,并结合BIMI(Brand Indicators for Message Identification)技术,在收件箱中展示企业官方Logo。这样,用户一眼就能分辨真假邮件。
“比如你收到一封‘银行’邮件,如果左边没看到熟悉的LOGO,那就要多留个心眼。”芦笛解释,“这就像钞票上的水印,是防伪的重要一环。”
组织级防御:从被动响应到主动预测
除了终端防护,Barracuda还建议企业构建更前瞻的防御体系:
汇聚DNS被动解析数据:监控大量域名解析请求,发现异常集中注册或访问行为;
追踪WHOIS新注册信号:对短时间内批量注册的、含知名品牌词的域名进行预警;
建立内部钓鱼响应机制:一旦发现可疑链接,迅速通知全员并加入内部黑名单。
“安全不是‘堵漏洞’,而是‘建体系’。”芦笛强调,“未来的反钓鱼,必须结合AI分析、行为监测和用户教育,形成闭环。”
结语:警惕“最像真的”那个链接
这场由“巧妙URL”引发的钓鱼浪潮,再次提醒我们:在网络世界,最危险的往往不是明显可疑的东西,而是看起来“完全正常”的那一部分。
随着攻击者不断升级伪装技术,单纯的“别点陌生链接”已不足以应对风险。个人需养成核查顶级有效域名的习惯,企业则必须升级技术防御体系,从“看得见的威胁”转向“看不见的欺骗”。
毕竟,在数字时代,保护好你的“数字身份”,可能比保护钱包更重要。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
