據(jù)網絡安全公司Barracuda近期的一項研究報告，一些攻擊者正濫用電子郵件安全服務隱藏惡意鏈接并傳播釣魚郵件，到目前為止這些攻擊已針對至少數(shù)百家公司。

這些攻擊主要利用了電子郵件安全網關中的URL保護功能，該功能能夠檢查鏈接是否指向已知的網絡釣魚或惡意軟件網站，并根據(jù)結果阻止對該鏈接的訪問或將請求重定向到最終目的地，以此來保護用戶免受釣魚或惡意軟件威脅。

從2024 年 5 月中旬開始，Barracuda觀察到網絡釣魚攻擊利用三種不同的 URL 保護服務來掩蓋他們的網絡釣魚鏈接，且提供這些保護服務的都是信譽良好的合法品牌。

目前還不清楚這些攻擊者是如何生成指向其虛假網站的重寫 URL， 不過，研究人員推測，他們很可能入侵了企業(yè)內部使用這些服務的電子郵件賬戶，向這些被入侵的賬戶發(fā)送電子郵件（或從這些賬戶發(fā)出電子郵件），以強制重寫URL。 隨后，只需從生成的電子郵件信息中獲取重寫的URL，并重復使用來制作新的網絡釣魚電子郵件即可。

在目標域被標記為惡意域之前，這些 URL 將在多個用戶的點擊中無限期地發(fā)揮作用。 一些使用這種技術的釣魚電子郵件可以偽裝成微軟的密碼修改提醒或 DocuSign 的文檔簽名請求。

偽裝成微軟賬戶密碼修改的釣魚郵件

URL保護功能在實施過程中存在一些爭議，最大的一項缺陷是該功能的黑名單制度，難以有效快速更新最新生成的網絡釣魚網站。因為攻擊者已經擅長使用便宜的域名生成大量釣魚URL，當某一個鏈接被標記為網絡釣魚網站時，可能已經產生了數(shù)百名受害者。

另一個缺陷在于該功能會破壞加密電子郵件簽名，因為安全電子郵件網關會通過更改鏈接來修改原始電子郵件。 例如，微軟為 Office 365 用戶提供了名為 "安全鏈接 "的功能，在 Outlook 和 Teams 等應用程序中，收到的電子郵件和信息中的鏈接會被重寫為 na01.safelinks.protection.outlook.com/?url=[original_URL]，這一方式過去曾受到安全公司的批評，因為它實際上沒有執(zhí)行動態(tài)掃描，且很容易被基于 IP 的流量重定向繞過，或者被使用來自合法和可信域的開放重定向 URL 繞過。

目前，傳統(tǒng)的電子郵件安全工具可能很難檢測到這些攻擊，最有效的防御是通過多層級安全的方法，全面檢測和阻止異?；蛞馔饣顒?。