近日,国际某网络安全厂商研究团队披露,一轮以财务等关键岗位为目标的定向钓鱼活动正在激增。攻击者利用SharePoint可信平台等手段,累计发送约4万封恶意邮件。这类攻击利用企业用户熟悉的文档共享、流程审批作为诱饵,将虚假发票、恶意文件下载等请求包装成协作通知,极具迷惑性。
更危险的是,传统邮件安全网关往往将微软域名列为白名单,导致此类钓鱼邮件轻易绕过检测。当邮件安全网关放行漏拦后,攻击者借助真实业务语境削弱用户警惕,极易诱导收件人点击链接并提交账号密码、下载恶意程序,造成凭据泄露、数据泄露等风险。
针对这一防护盲区,方向标推出邮件端远程浏览器隔离防护系统,通过“浏览器流量全隔离+远端执行+行为限控”的设计理念,实现对未拦截恶意URL邮件相关风险的根本隔离,达成“用户体验不变、风险彻底隔离、合规可审计”的防护目标。
一、精准定向:利用SharePoint可信平台实施钓鱼攻击
近期FangMail邮件安全运营团队收集到多起该主题类钓鱼邮件样本,攻击手法呈现高度定向化和精细化特征:
图1:借用SharePoint可信平台发送真实协作通知邮件,驱导下载恶意文件
图2:定向要求指定用户登录邮箱界面
图3:定向给指定用户发送验证代码并诱导下载恶意exe文件
钓鱼攻击者仿冒某企业介绍文件,定向发送给关键岗位人员,诱导其输入验证码后,下载高危exe文档。攻击者借助SharePoint可信平台实施的这类新型钓鱼攻击,且经过精心伪装,普通用户难以辨别真伪。
面对这类利用可信平台分享文档的钓鱼邮件,传统网关过滤机制存在明显盲区:微软相关域名为可信加白,极易对恶意邮件发生漏拦。一旦核心业务人员中招,将导致凭据泄露、账户接管、下载恶意文件,为后续窃取勒索企业核心资产埋下重大隐患。
二、根本隔离:构建邮件端浏览安全新防线
类似上述场景的一次定向钓鱼点击,即可导致账密接管、横向移动、木马渗透、勒索或敏感数据泄露,严重影响企业业务连续性与安全合规。因此,企业亟需一种能彻底隔离邮件端浏览风险、保证员工体验并满足合规的解决方案。
例如,方向标邮件端远程浏览器隔离防护系统,通过"浏览器流量全隔离+远端执行+行为可控"三大设计理念,构建邮件端浏览安全新防线:
1.浏览器流量全隔离:用户点击邮件中的链接,终端浏览器发起的所有访问均进入隔离通道,终端不与互联网直接交互,恶意流量无法触及本地设备。
2.远端执行:所有网页、脚本、插件、文件在云端受控容器中执行,终端仅接收渲染后的安全镜像,恶意代码在隔离环境中运行,本地零接触。
3.行为可控:如管控用户端exe文件下载等高危行为,防范恶意程序传播。对页面加载与交互进行即时风险提醒、策略管控与操作限制,并记录全量日志以满足取证与审计需求,实现合规可审计。
图4:方向标邮件端远程浏览器隔离防护系统对高危访问及操作行为进行安全防控
三、场景验证:典型攻击与平台处置
场景一:钓鱼邮件导致木马下载并渗透内网
处置:链接访问被导入隔离容器;木马仅在容器内被执行或阻断,无法向内网写入或横向传播,容器关闭后无残留。
场景二:利用上下游合作方页面植入恶意脚本导致浏览者终端感染
处置:页面在容器内执行并返回镜像,恶意脚本无法在浏览者本地运行,终端与内网不受影响。
场景三:攻防演练触发真实攻击工具
处置:攻击行为被限制在隔离容器中,企业可在真实条件下验证防护能力,同时保障生产系统安全。
四、行动建议:人防技防相结合
FangMail邮件安全运营团队建议,企业应从“人防+技防”两个维度构建完整防护体系:一方面强化员工邮件安全意识,提升对共享文档和签署通知的验证能力,核查发件域名、链接跳转和登录页真伪,针对各部门开展专项演练;另一方面,可部署方向标邮件端远程浏览器隔离防护系统,从根本上消除恶意URL邮件带来的凭据泄露和账户接管风险,实现“漏拦不慌、点击不怕”的安全防护效果。
作者:北京方向标信息科技有限公司(公共互联网反网络钓鱼工作组成员单位)
编辑:芦笛(公共互联网反网络钓鱼工作组)
