在 2025 年,網路罪犯不僅會繞過傳統的防禦系統,還會將它們變成武器。
新一波的網路釣魚攻擊正在濫用 Google 等可信賴的服務,即使是最有安全意識的收件匣也會被騙過。這些郵件通常會通過 SPF、DKIM 和 DMARC 檢查。它們來自合法的網域。它們在 Google Workspace 中帶有令人安心的綠色核取標記。然而,它們是惡意的。
問題何在?電子郵件驗證不會檢查行為。
| 安全層 | 類別 | 目的 | 保護內容 |
|---|---|---|---|
| SPF(寄件者政策架構) | 驗證 | 驗證傳送伺服器 IP | 防止偽造傳送伺服器 |
| DKIM(網域密碼識別郵件) | 驗證 | 確保訊息完整性 | 保護訊息不被篡改 |
| DMARC(政策執行) | 驗證 | 將 SPF/DKIM 與可見的寄件者對齊 | 防止未經授權使用 From: 網域 |
| 品牌欺詐防護 | 零信任/內容信任 | 偵測冒充的品牌,而不只是網域 | 防止視覺釣魚的欺騙性設計 |
| URL 與頁面分析 | 零信任/行為 | 分析內嵌連結和登陸頁面 | 偵測網路釣魚和憑證陷阱 |
| Sandbox & Behavior Emulation (MetaDefender Aether) | 零信任/行為 | 觀察連結、檔案和表單的動態行為 | 偵測意圖、惡意軟體、IOC - 即使是在可信賴的網域中 |
To keep up, enterprise security teams need more than trust-based signals. They need behavior-based detection. And that’s where OPSWAT MetaDefender Aether comes in.
已簽署、已封存、已損害:DKIM 重放漏洞
一種新興的策略是 DKIM 重放攻擊 - 攻擊者重複使用合法簽署的電子郵件標頭,但在簽署部分之外附加惡意內容。
工作原理如下:
- DKIM 使用簽章來驗證部分訊息未被篡改。
- 但如果使用 l= 標籤 (長度),則只有部分訊息會被簽署。
- 攻擊者可以在已簽署的部分之後插入惡意內容,但 DKIM 檢查卻完好無損。
- DMARC 可以通過,因為它依賴 SPF 或 DKIM 來驗證來源。
結果如何?一則經過完美驗證的訊息,卻會傳送釣魚內容。
濫用 OAuth 網路釣魚:從 Google Alerts 內部劫持信任
另一個令人不安的趨勢是濫用 Google 的 OAuth 基礎架構。
攻擊者是
- 建立虛假的 OAuth 應用程式,命名為「Google 安全更新」或「需要帳戶審查」等名稱
- 傳送 Google 簽署的安全警示,通知使用者有關這些應用程式的資訊
- 在這些警示中嵌入釣魚連結,並由 Google 的合法無回應網域名稱支援
整個網路釣魚誘餌以 Google 品牌的形式出現,利用線程警示和網域聲譽來解除使用者的戒心。這不是偽造的,而是由 Google 所託管。
僅有綠色核取標誌是不夠的
這是一種錯誤的安全感。通過 SPF、DKIM 和 DMARC 的訊息仍有可能..:
- 包含憑證採集頁面
- 使用 UI 技巧隱藏登入欄位
- 利用空白來延遲惡意的有效載荷
- 在合法的基礎架構 (例如:sites.google.com) 上寄存虛假的 Microsoft 或 Google 登入頁面
電子郵件驗證僅驗證訊息的來源,而非訊息的內容。
MetaDefender Aether: A Critical Layer of Defense for Email Behavior
OPSWAT’s MetaDefender Aether adds critical visibility. Rather than relying on signatures or sender validation, the sandbox emulates email behavior:
- 動態連結檢查- 在安全的環境中追蹤內嵌連結,即時評估頁面行為
- UI 與版面分析- 識別虛假登入畫面、隱藏欄位和憑證陷阱
- 網路釣魚流量偵測-偵測重定向、表單提交和攻擊者控制的端點
Because it doesn’t trust email by default, MetaDefender Aether detects what authentication-based solutions miss. Even signed, authenticated, and “green-checked” emails can be weaponized. MetaDefender exposes the real intent.
企業現在必須做的事
網路釣魚不斷演進。您的防禦系統也必須如此。以下是如何知名一步的方法:
- 採用零信任的Email Security-不要僅僅依賴標頭和元資料。檢查電子郵件內容和行為。
- 新增以行為為基礎的沙箱處理 -透過對連結、表單和有效載荷的動態分析,強化您的偵測堆疊。
- 保護 警示和系統電子郵件 -OAuth 和網域濫用使警示電子郵件也成為潛在的威脅媒介。
檢視驗證本身無法看到的內容
Discover how OPSWAT MetaDefender Aether detects advanced phishing—even from “trusted” sources like Google alerts. Talk to an expert today and discover how you can put our advanced sandbox on the front lines of your email security strategy.
