钓鱼邮件攻击滥用网址重新导向、云端服务与自动化真人检测服务CAPTCHA

网络钓鱼攻击手法推陈出新，日前有攻击者利用验证真人与机器人的CAPTCHA机制，诱骗受害者下载金融木马，而根据资安业者Greathon的统计，滥用Google Meet和Google DoubleClick等工具，重新导向到其他网站的钓鱼攻击手法，也日益升温，如今攻击者也将这些方法运用于钓鱼邮件上。

在微软最近揭露钓鱼邮件攻击行动当中，我们同样看到类似的手法。在这事件里面，骇客为了回避侦测，广泛使用合法的寄件者网域名称，这些网域包含国家级网域（ccTLD）、遭骇的合法网域名称，以及攻击者所持有、由网域生成算法（DGA）所产生的网域名称。微软发现，至少有350个网域名称被用于此次攻击行动，研究人员认为，这突显了一个现象，那就是：有许多骇客投入相关攻击行动。

钓鱼邮件以通知信为幌子，主旨含有收信人资料与时间

关于这波攻击行动里的钓鱼邮件有哪些共通特征？微软指出，信件内容都存在相当显著的点选按钮，诱使收信人按下去，以便将他们带往恶意网站。

再者，信件的主旨内容，往往包含收件人的使用者名称，以及所属的网域名称，甚至是日期、时间，以便取信收件人，让他们相信是针对自己而来的通知。由于网域名称很可能与组织的名称相同，使得这类通知看似从组织或是企业所发出。

这些信件的主旨，包含了收件人组织将于指定时日举办Zoom Meeting的线上会议，或者是使用者密码异动通知等，而让受害者信以为真。

一旦收信人信以为真，点选信件里的按钮，就会重新被引导到攻击者的网站。但为何钓鱼信件里的连结能通过邮件防护系统的检查？微软指出，原因是在于攻击者使用了特别制作的URL，这些网址看起来是对应合法组织的网域名称，实际上是透过重新导向的方式，将使用者引导到攻击者的网站。由于重新导向的做法在企业也相当常见，因此IT人员也很难直接封锁具有这类URL的电子邮件。

运用合法服务来让人信以为真

而在攻击者的网站中，他们使用了Google的reCAPTCHA服务，借此避开那些过滤网页内容检测的服务，或是规避动态扫描系统，以免这类资安防护机制发现实际的钓鱼网页。

收信人若是完成CAPTCHA验证后，便会看到冒充合法服务（如Office 365）的登入网站，这个网站会预先填入收件人的账号（电子邮件信箱），甚至可能会包含收件人所属的公司标志。如果收信人输入了密码，这个网页便会显示错误讯息，像是连线逾时或是密码不正确，要求收件人再次输入密码。微软指出，攻击者这么做的目的，很可能是为了确保得到正确的密码。

收件人输入了第二次密码后，便会被导向合法的Sophos网站，让人误以为是安全的。但实际上，刚刚输入的密码已经遭到侧录。