2025 年,网络犯罪分子不仅绕过了传统防御系统,还将其变成了武器。
新一轮的网络钓鱼攻击正在滥用 Google 等可信服务,甚至连最有安全意识的收件箱都无法躲过。这些邮件通常会通过 SPF、DKIM 和 DMARC 检查。它们来自合法的域名。它们在 Google Workspace 中带有令人放心的绿色勾选标记。然而,它们是恶意的。
问题出在哪里?电子邮件验证无法检查行为。
| 安全层 | 类别 | 目的 | 它能保护什么 |
|---|---|---|---|
| SPF(发件人策略框架) | 认证 | 验证发送服务器 IP | 防止欺骗发送服务器 |
| DKIM(域键识别邮件) | 认证 | 确保信息的完整性 | 保护信息不被篡改 |
| DMARC(政策执行) | 认证 | 将 SPF/DKIM 与可见发件人对齐 | 防止未经授权使用 From: 域名 |
| 品牌欺骗保护 | 零信任/内容信任 | 检测假冒品牌,而不仅仅是域名 | 通过欺骗性设计防止视觉网络钓鱼 |
| URL 和页面分析 | 零信任/行为 | 分析嵌入式链接和登陆页面 | 检测网络钓鱼和凭证陷阱 |
| Sandbox 和行为模拟MetaDefender Sandbox | 零信任/行为 | 观察链接、文件和表单的动态行为 | 检测意图、恶意软件和 IOC--即使是在可信域中 |
为了跟上时代的步伐,企业安全团队需要的不仅仅是基于信任的信号。他们需要基于行为的检测。而这正是 OPSWAT MetaDefender Sandbox的作用。
已签名、已密封、已破坏:DKIM 重放漏洞
一种新出现的策略是 DKIM 重放攻击--攻击者重复使用合法签名的电子邮件标题,但在签名部分之外附加恶意内容。
具体操作如下
- DKIM 使用签名来验证信息的一部分未被篡改。
- 但如果使用 l= 标记(长度),则只有部分信息被签名。
- 攻击者可以在签名部分之后插入恶意内容,从而使 DKIM 检查完全完好无损。
- DMARC 可以通过,因为它依赖 SPF 或 DKIM 来验证来源。
结果如何?一条经过完美验证的信息,却传递着网络钓鱼的内容。
滥用 OAuth 网络钓鱼:从 Google Alerts 内部劫持信任
另一个令人不安的趋势是谷歌的 OAuth 基础设施被滥用。
攻击者是
- 创建名为 "谷歌安全更新 "或 "需要账户审查 "的假冒 OAuth 应用程序
- 发送由 Google 签名的安全警报,通知用户有关这些应用程序的信息
- 在这些警报中嵌入由谷歌合法的无回复域支持的钓鱼链接
整个钓鱼诱饵以谷歌品牌的形式出现,利用线程警报和域名声誉来迷惑用户。这不是欺骗,而是由 Google 托管的。
仅有绿色标记是不够的
这是一种虚假的安全感。通过了 SPF、DKIM 和 DMARC 的信息仍然有可能:
- 包含凭证采集页面
- 使用用户界面技巧隐藏登录字段
- 利用空白来延迟恶意有效载荷
- 在合法基础设施(如 sites.google.com)上托管伪造的微软或谷歌登录页面
电子邮件身份验证只验证信息的来源,而不是信息的内容。
MetaDefender Sandbox:电子邮件行为的关键防御层
OPSWAT的MetaDefender Sandbox增加了重要的可见性。沙箱不依赖签名或发件人验证,而是模拟电子邮件行为:
- 动态链接检测- 在安全环境中跟踪嵌入链接,实时评估页面行为
- 用户界面和布局分析- 识别虚假登录屏幕、隐藏字段和凭证陷阱
- 网络钓鱼流量检测- 检测重定向、表单提交和攻击者控制的端点
由于默认情况下不信任电子邮件,MetaDefender Sandbox 可以检测到基于身份验证的解决方案所忽略的内容。即使是经过签名、身份验证和 "绿色检查 "的电子邮件也可能被武器化。MetaDefender 会暴露真实意图。
企业现在必须做什么
网络钓鱼正在演变。您的防御系统也必须如此。以下是如何抢占先机的方法:
- 采用零信任Email Security-不要只依赖标题和元数据。检查电子邮件内容和行为。
- 添加基于行为的沙盒 -通过对链接、表单和有效载荷进行动态分析,增强检测堆栈。
- Secure 警报和系统邮件 -OAuth 和域滥用使警报邮件也成为潜在的威胁媒介。
检查仅靠身份验证无法看到的内容
了解如何 OPSWAT MetaDefender Sandbox如何侦测高级网络钓鱼--即使是来自谷歌警报等 "可信 "来源的网络钓鱼。立即咨询专家,了解如何将我们的高级沙盒置于电子邮件安全策略的前沿。
