釣魚攻擊一直是企業(yè)和個人用戶面臨的主要威脅之一。為了應對這種威脅，許多電子郵件安全服務引入了URL重寫（保護）技術，通過聲譽過濾器阻止用戶訪問已知釣魚網(wǎng)站。然而，近期的一些釣魚活動卻利用這種保護技術來實施攻擊。

安全公司Barracuda Networks最新報告顯示：“從2024年5月中旬開始，網(wǎng)絡釣魚攻擊者開始利用三種不同的URL重寫服務來掩蓋釣魚網(wǎng)站URL。這些URL重寫服務由值得信賴的合法品牌提供。到目前為止，此類濫用URL重寫服務攻擊已經(jīng)攻擊了數(shù)百家甚至更多的公司?！?/p>

URL重寫服務的工作原理

URL重寫服務是電子郵件安全供應商在安全郵件網(wǎng)關和云郵件服務中廣泛使用的一種對電子郵件中的鏈接進行即時聲譽檢查的工具，通過重寫傳入或傳出電子郵件中的鏈接，使其指向由安全受控的域名和服務。

當用戶點擊重寫的鏈接時，服務器會檢查該鏈接是否指向已知的釣魚或惡意軟件網(wǎng)站，并根據(jù)檢查結(jié)果決定是阻止訪問還是重定向到安全網(wǎng)址。這種方法的好處在于，如果一個網(wǎng)站在稍后被標記為惡意，所有指向它的重寫鏈接都將停止工作，從而為所有用戶提供保護。

URL重寫的技術缺陷與挑戰(zhàn)

盡管URL重寫服務在理論上具有保護作用，但其實際效果卻存在爭議。首先，這種方法會破壞加密電子郵件簽名，因為安全電子郵件網(wǎng)關通過更改鏈接修改了原始電子郵件。其次，重寫的鏈接掩蓋了真實的目的地網(wǎng)址，這使得用戶無法通過查看鏈接來識別釣魚網(wǎng)站。

例如，微軟在其Office 365用戶中提供了名為“安全鏈接”的功能，該功能會重寫傳入電子郵件和應用程序（如Outlook和Teams）中的鏈接。然而，這一功能過去曾被安全公司批評，原因包括不進行動態(tài)掃描或容易被基于IP的流量重定向繞過——微軟的IP地址是公開的——或通過使用來自合法和受信任域名的開放重定向URL。

URL重寫服務最大的缺點是，其鏈接聲譽檢查基于黑名單機制，而一個新釣魚網(wǎng)站被添加到安全廠商的黑名單所需的時間各不相同。這可能需要幾分鐘、幾小時或幾天，取決于是否有人報告。一些安全廠商比其他廠商動作更快，攻擊者也知道這一點。域名相當便宜，等到一個域名因托管釣魚網(wǎng)站而被標記時，可能已經(jīng)有數(shù)百名用戶成為其受害者。

攻擊者如何濫用URL重寫服務

目前尚不清楚Barracuda觀察到的釣魚活動如何重寫指向釣魚網(wǎng)站的URL。研究人員推測，他們可能入侵了使用這些服務的企業(yè)內(nèi)部電子郵件賬戶，然后向這些被入侵的帳戶發(fā)送電子郵件或從這些被入侵的帳戶發(fā)送電子郵件以強制進行URL重寫。

然后，攻擊者只需從生成的電子郵件消息中獲取重寫的URL，用來制作新的釣魚電子郵件。

一些使用URL重寫技術的釣魚電子郵件偽裝成來自微軟的密碼更改提醒或來自DocuSign的文檔簽名請求。這些電子郵件包含被仿冒服務的典型品牌元素，包括使用重寫鏈接將用戶重定向的按鈕。

面對濫用URL重寫服務的釣魚郵件攻擊，Barracuda的研究人員強調(diào)，安全措施應與安全意識培訓相結(jié)合，企業(yè)和個人用戶應保持警惕，及時更新安全策略，以應對不斷變化的網(wǎng)絡威脅。