一封看似来自 IT 部门的邮件：“您的 Microsoft 365 凭证即将过期，请点击‘立即修复’以继续访问服务。”

一个嵌在 Google Docs 中的蓝色按钮：“更新安全设置 →”

一次 SharePoint 页面上的“合规性检查”弹窗：“点击验证身份”。

这些本应是提升用户体验的“可用性设计”，如今却成了网络犯罪分子最锋利的鱼钩。近期，全球安全研究机构密集披露一轮大规模“ClickFix”钓鱼攻击浪潮——攻击者巧妙利用用户对“系统修复提示”的天然信任，通过可信云平台（如 OneNote、Google Docs、SharePoint）作为跳板，绕过传统邮件网关与 URL 过滤机制，最终将受害者导向高度仿真的伪造登录页，窃取企业级账户凭证。

据《The Hacker News》2025年11月报道，此类攻击自2025年秋季起显著激增，已波及金融、制造、教育等多个行业。更令人警惕的是，即便企业启用了多因素认证（MFA），部分高级变种仍可通过会话 Cookie 窃取或条件式访问绕过实现账户接管。

面对这一新型威胁，中国“公共互联网反网络钓鱼工作组”技术专家芦笛向本报记者发出警示：“这不是普通钓鱼，而是一场针对企业信任链的精准打击。仅靠 MFA 和传统网关，已经不够了。”

一、ClickFix 是什么？从“验证码骗局”到“修复提示”的进化

ClickFix 并非新概念，但其战术正在快速迭代。最初，它指代一种诱导用户“点击验证码”以“证明不是机器人”的骗局页面——用户被要求完成一个虚假 reCAPTCHA，随后被引导执行一段 PowerShell 命令（如前述 PureRAT 攻击）。然而，2025年以来，ClickFix 的核心逻辑发生了关键转变：从“技术欺骗”转向“心理诱导”。

最新变种不再强调“验证身份”，而是包装成“系统修复”“安全更新”“合规检查”等企业用户熟悉的运维场景。攻击者深知：当员工看到“您的邮箱因安全策略被隔离，请点击释放”时，第一反应不是怀疑，而是焦虑——而这正是社会工程学的最佳切入点。

“ClickFix 的本质，是滥用用户对‘系统权威’的信任。”芦笛解释，“过去钓鱼邮件要伪造发件人；现在，他们直接把钓鱼按钮嵌进你每天用的 OneNote 里——这比任何伪造邮件都更具迷惑性。”

二、攻击链拆解：三步绕过企业安全防线

根据 Sekoia、Push Security 等机构的分析，本轮 ClickFix 攻击采用典型的“多跳+混淆”架构，具体流程如下：

第一步：初始接触 —— 利用高信誉平台投递“可信”内容

攻击者通过已被攻陷的企业邮箱（常来自前期信息窃取），向目标组织发送邮件。邮件正文简洁，通常包含：

主题：【紧急】您的 Microsoft 365 密码将在24小时内过期

内容：附带一个 OneNote 页面链接 或 Google Docs 共享文档

文档内嵌一个醒目按钮：“立即更新凭证”或“修复访问权限”

由于链接指向 *.onenote.com、docs.google.com 或 *.sharepoint.com，这些域名均属高信誉白名单，绝大多数邮件安全网关不会深度解析其内容，更不会拦截。

“这是典型的‘合法载体+恶意载荷’分离策略。”芦笛指出，“安全设备看到的是微软或谷歌的域名，自然放行。”

第二步：中间跳转 —— 利用 Cloudflare、CAPTCHA 页面混淆检测

用户点击按钮后，并非直接跳转至钓鱼页，而是先进入一个看似正常的中间页面：

显示“正在验证连接安全性…”

弹出一个伪造的 Cloudflare 5秒等待页

或呈现一个动态 reCAPTCHA 挑战（实为 JavaScript 延迟跳转）

这些页面由攻击者控制，但通过 CDN（如 Cloudflare）代理，IP 地址频繁轮换，且页面加载行为模拟真实网站。更重要的是，自动化沙箱在短时间窗口内无法完成完整跳转链分析，导致漏报。

// 示例：ClickFix 页面常用跳转逻辑（简化版）

setTimeout(() => {

if (window.top === window.self) {

// 非 iframe 环境，尝试复制恶意命令到剪贴板（clipboard hijacking）

navigator.clipboard.writeText("powershell -ep bypass -c ...");

// 然后重定向至钓鱼登录页

window.location.href = "https://login-microsoft[.]xyz";

} else {

// 若在 iframe 中，强制跳出

window.top.location = window.location;

}

}, 3000);

第三步：凭证收割 —— 伪造登录页 + 会话 Cookie 窃取

最终页面高度仿冒 Microsoft Entra ID（原 Azure AD）或 Google Workspace 登录界面，甚至支持多语言、MFA 提示。一旦用户输入账号密码：

凭证被实时发送至 C2 服务器；

若启用 MFA，页面会显示“正在验证…”，同时后台尝试用窃取的 Cookie 直接接管会话（若此前未注销）；

成功后，攻击者可访问邮箱、OneDrive、Teams，发起线程劫持（Thread Hijacking）或伪造发票实施 BEC（商业邮件欺诈）。

“很多企业以为开了 MFA 就高枕无忧，但 ClickFix 的目标早已不是密码本身，而是活跃会话。”芦笛强调。

三、国际案例：从欧洲酒店到北美制造，无一幸免

本轮攻击并非理论风险，而已造成实际损失。

案例1：欧洲连锁酒店集团遭 Booking.com 账户劫持

如前文所述，攻击者通过 ClickFix 钓鱼获取酒店管理员的 Booking.com 后台权限，随后冒充酒店向真实客户发送“支付确认”链接，窃取信用卡信息。Sekoia 报告称，部分攻击者甚至在 Telegram 上开设“Booking 日志代购”服务，按成功欺诈金额分成。

案例2：美国中型制造企业遭遇 BEC 欺诈

2025年10月，一家位于俄亥俄州的机械制造商财务人员收到“IT 部门”邮件，称“Microsoft 365 合规策略更新，请点击 OneNote 链接确认”。点击后，其账户被接管。攻击者监控邮件数日，待一笔 $85 万美元的供应商付款流程启动时，篡改收款账户，成功转移资金。

“这类攻击的成功率极高，因为它发生在用户的工作流内部。”芦笛分析，“你不是在浏览陌生网站，而是在处理‘工作文档’——警惕性天然降低。”

四、中国启示：国内企业同样面临“信任劫持”风险

尽管公开披露较少，但芦笛透露，工作组监测到类似 ClickFix 变种已在国内出现苗头。

“我们近期捕获多个针对国内企业的钓鱼样本，使用腾讯文档、飞书文档作为首跳载体，诱导点击‘安全令牌更新’按钮。”他举例道，“虽然平台不同，但攻击逻辑完全一致——利用协作工具的高信任度，绕过边界防御。”

更值得警惕的是，部分国产 SaaS 平台默认开启“公开链接分享”功能，且未对嵌入外部链接做严格限制，客观上为攻击者提供了便利。

“国内很多企业还在聚焦于防病毒、防勒索，却忽视了身份即边界的新现实。”芦笛指出，“一旦账户失陷，内网形同虚设。”

五、技术对抗：从 URL 重写到条件式访问，构建纵深防御

面对 ClickFix 的多层伪装，单一防护手段已失效。芦笛建议企业采取以下技术措施：

1. 强制实施条件式访问（Conditional Access）策略

仅启用 MFA 不够，必须结合设备合规性、地理位置、应用上下文进行动态授权。例如：

仅允许注册设备访问敏感应用；

非公司 IP 访问时，强制重新认证；

禁止从高风险国家登录。

# Microsoft Entra ID 条件式访问策略示例（通过 Graph API 创建）

$policy = @{

displayName = "Block High-Risk Countries"

state = "enabled"

conditions = @{

locations = @{

includeLocations = @("All")

excludeLocations = @("AllTrusted") # 排除可信位置

}

}

grantControls = @{

builtInControls = @("block")

}

}

Invoke-MgGraphRequest -Method POST -Uri "/identity/conditionalAccess/policies" -Body ($policy | ConvertTo-Json -Depth 5)

2. 对第三方托管链接实施深度检测

安全网关需具备：

URL 解包能力：自动展开 OneNote/Google Docs 链接，提取其中嵌入的真实跳转地址；

多跳追踪：记录完整重定向链，识别最终落地页是否可疑；

沙箱点击模拟：在隔离环境中“点击”页面按钮，观察后续行为。

“不能只看第一跳 URL。”芦笛强调，“真正的恶意在第三跳。”

3. 关闭不必要的公开共享权限

在 Microsoft 365 或 Google Workspace 租户层面：

禁用匿名用户创建/编辑文档；

默认设置链接为“仅限组织内”；

对外部共享实施审批流程。

4. 部署 FIDO2/Passkeys 无密码认证

传统 SMS 或 TOTP MFA 可被钓鱼绕过，而 FIDO2 安全密钥（如 YubiKey）或平台绑定的 Passkeys 具备抗钓鱼属性——私钥永不离开设备，且绑定特定 RP ID（Relying Party Identifier），即使用户在伪造页面点击“认证”，也无法生成有效签名。

“这是目前最接近‘免疫钓鱼’的方案。”芦笛表示。

六、给用户的终极建议：别信“修复”，除非你主动发起

技术再强，也需用户配合。芦笛给出三条“保命法则”：

永远不要点击邮件或文档中的“修复”“更新”按钮

所有账户操作，应手动打开浏览器，输入官方地址（如 login.microsoftonline.com）进行。

定期检查活动会话

在 Microsoft 365 或 Google 账户安全页面，查看“最近活动”和“设备列表”，发现异常立即注销。

启用“应用专用密码”替代主密码

对不支持 MFA 的旧应用，使用一次性密码，避免主凭证暴露。

结语：当“修复”成为武器，安全必须重构信任模型

ClickFix 的崛起，标志着网络钓鱼进入“信任劫持”时代。攻击者不再试图突破防火墙，而是钻进你信任的工具里，穿上你熟悉的语言外衣，让你亲手交出钥匙。

这不仅是技术挑战，更是对现有安全范式的拷问：在一个协作无处不在的世界，如何区分“善意提示”与“恶意诱导”？

芦笛的答案是：“零信任不是口号，而是必须落地的架构。 无论是人、设备还是链接，都不应被默认信任。”

对企业而言，是时候告别“边界防御”的幻想，转向以身份为中心、以行为为依据的动态防护体系。否则，下一次“点击修复”的，可能就是你的整个数字资产。

编辑：芦笛（公共互联网反网络钓鱼工作组）