2025 年,网络犯罪分子不仅绕过了传统防御系统,还将其变成了武器。
新一轮的网络钓鱼攻击正在滥用 Google 等可信服务,甚至连最有安全意识的收件箱都无法躲过。这些邮件通常会通过 SPF、DKIM 和 DMARC 检查。它们来自合法的域名。它们在 Google Workspace 中带有令人放心的绿色勾选标记。然而,它们是恶意的。
问题出在哪里?电子邮件验证无法检查行为。
| 安全层 | 类别 | 目的 | 它能保护什么 |
|---|---|---|---|
| SPF(发件人策略框架) | 认证 | 验证发送服务器 IP | 防止欺骗发送服务器 |
| DKIM(域键识别邮件) | 认证 | 确保信息的完整性 | 保护信息不被篡改 |
| DMARC(政策执行) | 认证 | 将 SPF/DKIM 与可见发件人对齐 | 防止未经授权使用 From: 域名 |
| 品牌欺骗保护 | 零信任/内容信任 | 检测假冒品牌,而不仅仅是域名 | 通过欺骗性设计防止视觉网络钓鱼 |
| URL 和页面分析 | 零信任/行为 | 分析嵌入式链接和登陆页面 | 检测网络钓鱼和凭证陷阱 |
| Sandbox 行为模拟(MetaDefender ) | 零信任/行为 | 观察链接、文件和表单的动态行为 | 检测意图、恶意软件和 IOC--即使是在可信域中 |
为了跟上时代步伐,企业安全团队需要的不仅仅是基于信任的信号,他们还需要基于行为的检测。OPSWAT MetaDefender 是在此背景下应运而生的。
已签名、已密封、已破坏:DKIM 重放漏洞
一种新出现的策略是 DKIM 重放攻击--攻击者重复使用合法签名的电子邮件标题,但在签名部分之外附加恶意内容。
具体操作如下
- DKIM 使用签名来验证信息的一部分未被篡改。
- 但如果使用 l= 标记(长度),则只有部分信息被签名。
- 攻击者可以在签名部分之后插入恶意内容,从而使 DKIM 检查完全完好无损。
- DMARC 可以通过,因为它依赖 SPF 或 DKIM 来验证来源。
结果如何?一条经过完美验证的信息,却传递着网络钓鱼的内容。
滥用 OAuth 网络钓鱼:从 Google Alerts 内部劫持信任
另一个令人不安的趋势是谷歌的 OAuth 基础设施被滥用。
攻击者是
- 创建名为 "谷歌安全更新 "或 "需要账户审查 "的假冒 OAuth 应用程序
- 发送由 Google 签名的安全警报,通知用户有关这些应用程序的信息
- 在这些警报中嵌入由谷歌合法的无回复域支持的钓鱼链接
整个钓鱼诱饵以谷歌品牌的形式出现,利用线程警报和域名声誉来迷惑用户。这不是欺骗,而是由 Google 托管的。
仅有绿色标记是不够的
这是一种虚假的安全感。通过了 SPF、DKIM 和 DMARC 的信息仍然有可能:
- 包含凭证采集页面
- 使用用户界面技巧隐藏登录字段
- 利用空白来延迟恶意有效载荷
- 在合法基础设施(如 sites.google.com)上托管伪造的微软或谷歌登录页面
电子邮件身份验证只验证信息的来源,而不是信息的内容。
MetaDefender :电子邮件行为防护的关键防线
OPSWAT MetaDefender 提供了关键的可视性。该沙箱不再依赖签名或发件人验证,而是模拟电子邮件的行为:
- 动态链接检测- 在安全环境中跟踪嵌入链接,实时评估页面行为
- 用户界面和布局分析- 识别虚假登录屏幕、隐藏字段和凭证陷阱
- 网络钓鱼流量检测- 检测重定向、表单提交和攻击者控制的端点
由于默认情况下不信任电子邮件,MetaDefender 能够检测到基于身份验证的解决方案所遗漏的内容。即使是经过签名、身份验证并带有“绿色勾选标记”的电子邮件,也可能被用作攻击工具。MetaDefender 其真实意图。
企业现在必须做什么
网络钓鱼正在演变。您的防御系统也必须如此。以下是如何抢占先机的方法:
- 采用零信任Email Security-不要只依赖标题和元数据。检查电子邮件内容和行为。
- 添加基于行为的沙盒 -通过对链接、表单和有效载荷进行动态分析,增强检测堆栈。
- Secure 警报和系统邮件 -OAuth 和域滥用使警报邮件也成为潜在的威胁媒介。
检查仅靠身份验证无法看到的内容
了解 OPSWAT MetaDefender 如何检测高级钓鱼攻击——即使是来自 Google 提醒等“可信”来源的攻击也不例外。立即咨询专家,了解如何将我们的高级沙箱技术部署到您的电子邮件安全策略的前沿。
