针对电子邮件攻击中的 URL 重写技术的剖析

关键要点

• 攻击者通过“URL 重写”技术在钓鱼攻击中传播恶意链接并逃避检测。
• URL 重写是一种安全措施，电子邮件保护服务通过替换收到电子邮件中的链接以保护最终用户。
• 攻击者通过利用被攻击者公司的服务和邮箱，生成表面上合法的链接来进行钓鱼。
• 近期，这种攻击的复杂性增加，包括“双重重写攻击”的新策略。
• 基于人工智能的动态邮件威胁检测系统对这种类型的攻击有更好的检测能力。

电子邮件攻击者正越来越多地利用“URL 重写”技术进行钓鱼攻击，这种技术的应用使得恶意链接能够逃避检测，Perception Point的研究人员在一篇博客中指出。

URL 重写是一种安全措施，在这一过程中，像安全电子邮件网关（SEG）这样的电子邮件保护服务会将收到的电子邮件中的任何 URL用其服务的域名重新包装。当收件人点击这些重写的 URL 时，该服务会扫描潜在威胁，然后再将收件人重定向到原目标网页。

根据 Barracuda 在 2024 年 7 月的博客透露，网络犯罪分子一直在，他们通过攻击使用这些服务的公司，利用被攻破的电子邮件账户生成看似合法的包装链接。

根据 Perception Point的报告，这种类型的攻击在最近几个月中有所增加，该公司拦截了许多使用这种钓鱼技术的电子邮件，并且其复杂程度提升超过以往观察到的情况。

在某些案例中，攻击者进行“重写攻击”，其中恶意链接被两个不同的安全供应商重写，以进一步掩盖其来源。例如，在 Perception Point 分享的 8月份的案例中，攻击者首先使用 Proofpoint 的 URL 防御系统重写了他们的链接，然后将这个 Proofpoint 包装的链接发送到一个由 INKY保护的攻击者控制的邮箱，从而生成了一个附加重定向层以逃避邮件安全系统。

最终，双层重写的链接被发送到 Perception Point 的一位客户，伪装成一个共享的 SharePoint文档，并且包含了第三层模糊化——一个旨在阻止自动威胁检测系统分析的 CAPTCHA 提示。经过 CAPTCHA 之后，恶意网页伪装成 Microsoft登录页面，最终的目的在于窃取用户的 Microsoft 凭据。

URL 重写攻击利用了某些电子邮件安全服务允许其自身域名的特点，这意味着由特定服务包装的 URL在被相同服务后续扫描时不会被拦截。这在攻击者攻破机构内的一个电子邮件账户并试图生成针对该机构其他成员的钓鱼链接时，显得尤为有用。

然而，Perception Point 也发现攻击者使用一个组织的受损账户生成的链接来针对多个其他组织，可能获取其他 URL重写服务的访问权限，以便在随后的重写和双重重写攻击中使用。

据 Perception Point 称，动态和人工智能驱动的电子邮件威胁检测系统在检测 URL 重写攻击方面优于传统的 URL扫描服务，因为人工智能驱动的系统可以像人类用户一样访问链接，以实时分析其行为。

这些案例还表明，用户不应因其电子邮件收件箱受到 SEG、URL重写服务或其他安全系统保护而松懈警惕；在点击任何链接时仍需谨慎，即使该域名初看起来安全也是如此。