為了減少駭客透過電子郵件挾帶連結,導致使用者上當不慎點選,被帶往釣魚網站的情況,有些企業會導入資安業者提供的連結防護服務(Link Wrapping)來因應,例如:Proofpoint提供的URL Defense、Intermedia推出的LinkSafe,這些服務會重新包裝郵件連結的網址,在用戶點選連結的過程當中,進行掃描及封鎖威脅,但有駭客看上使用者對於這類保護機制的信任,濫用這些機制來降低用戶警覺。
資安業者Cloudflare的旗下郵件安全團隊於今年6月至7月,發現有人積極利用Proofpoint與Intermedia的郵件網址連結防護服務,來掩蓋將使用者帶往網路釣魚有效酬載的意圖,若是使用者點選,就會被帶往各種Microsoft 365網釣頁面。
Cloudflare舉出濫用Proofpoint服務的攻擊行動為例,駭客疑似入侵受到保護的用戶電子郵件帳號,透過URL Defense「洗白」惡意網址,然後產生看似合法的連結用於網路釣魚。對於駭客寄信的管道,除了透過上述的用戶帳號,也有透過其他駭客控制的電子郵件信箱來進行的情況。
針對駭客濫用URL Defense來發動攻擊的手段,他們透過多層重新導向,並搭配短網址服務(其中一種是Bitly)而得逞。駭客先將惡意網址交由短網址服務處理,然後再透過上述Proofpoint用戶帳號,將短網址交給URL Defense處理,使得Proofpoint產生另一個重新導向的流程,這麼做讓駭客在每個階段都加入一層混淆處理。
在其中一起事故當中,駭客假借寄送語音留言的釣魚信,引誘收信人上當,一旦他們按下聽取留言的按鈕,此按鈕的連結採用的短網址,就會先導向Proofpoint連結防護服務產生的網址,然而再將使用者導向M365釣魚網站。在另一起事故裡,駭客聲稱收信人在協作平臺Teams收到加密文件,必須在有效期限裡存取,藉此催促收信人點選連結來觸發攻擊鏈。
對於Intermedia的連結防護服務遭到濫用的情況,Cloudflare指出駭客同樣是鎖定受到保護的使用者下手,未經授權存取他們的電子郵件帳號,從而濫用LinkSafe。在其中一起事故裡,駭客鎖定採用LinkSafe服務的企業組織下手,入侵其中一個使用者帳號,以此寄信給相同企業組織的用戶。他們聲稱透過安全訊息平臺Zix通知用戶,檢視一份受到保護的文件,但實際上,收信人若是照做,他們就可能遭遇一連串的重新導向,最終被帶往釣魚網頁。
熱門新聞
2025-12-08
2025-12-05
2025-12-08
2025-12-05
2025-12-05
2025-12-05
2025-12-08
2025-12-05