在 2025 年,網路罪犯不僅會繞過傳統的防禦系統,還會將它們變成武器。
新一波的網路釣魚攻擊正在濫用 Google 等可信賴的服務,即使是最有安全意識的收件匣也會被騙過。這些郵件通常會通過 SPF、DKIM 和 DMARC 檢查。它們來自合法的網域。它們在 Google Workspace 中帶有令人安心的綠色核取標記。然而,它們是惡意的。
問題何在?電子郵件驗證不會檢查行為。
| 安全層 | 類別 | 目的 | 保護內容 |
|---|---|---|---|
| SPF(寄件者政策架構) | 驗證 | 驗證傳送伺服器 IP | 防止偽造傳送伺服器 |
| DKIM(網域密碼識別郵件) | 驗證 | 確保訊息完整性 | 保護訊息不被篡改 |
| DMARC(政策執行) | 驗證 | 將 SPF/DKIM 與可見的寄件者對齊 | 防止未經授權使用 From: 網域 |
| 品牌欺詐防護 | 零信任/內容信任 | 偵測冒充的品牌,而不只是網域 | 防止視覺釣魚的欺騙性設計 |
| URL 與頁面分析 | 零信任/行為 | 分析內嵌連結和登陸頁面 | 偵測網路釣魚和憑證陷阱 |
| Sandbox 與行為模擬MetaDefender Sandbox) | 零信任/行為 | 觀察連結、檔案和表單的動態行為 | 偵測意圖、惡意軟體、IOC - 即使是在可信賴的網域中 |
為了跟上步伐,企業安全團隊需要的不只是基於信任的訊號。他們需要以行為為基礎的偵測。而這正是 OPSWAT MetaDefender Sandbox的用武之地。
已簽署、已封存、已損害:DKIM 重放漏洞
一種新興的策略是 DKIM 重放攻擊 - 攻擊者重複使用合法簽署的電子郵件標頭,但在簽署部分之外附加惡意內容。
工作原理如下:
- DKIM 使用簽章來驗證部分訊息未被篡改。
- 但如果使用 l= 標籤 (長度),則只有部分訊息會被簽署。
- 攻擊者可以在已簽署的部分之後插入惡意內容,但 DKIM 檢查卻完好無損。
- DMARC 可以通過,因為它依賴 SPF 或 DKIM 來驗證來源。
結果如何?一則經過完美驗證的訊息,卻會傳送釣魚內容。
濫用 OAuth 網路釣魚:從 Google Alerts 內部劫持信任
另一個令人不安的趨勢是濫用 Google 的 OAuth 基礎架構。
攻擊者是
- 建立虛假的 OAuth 應用程式,命名為「Google 安全更新」或「需要帳戶審查」等名稱
- 傳送 Google 簽署的安全警示,通知使用者有關這些應用程式的資訊
- 在這些警示中嵌入釣魚連結,並由 Google 的合法無回應網域名稱支援
整個網路釣魚誘餌以 Google 品牌的形式出現,利用線程警示和網域聲譽來解除使用者的戒心。這不是偽造的,而是由 Google 所託管。
僅有綠色核取標誌是不夠的
這是一種錯誤的安全感。通過 SPF、DKIM 和 DMARC 的訊息仍有可能..:
- 包含憑證採集頁面
- 使用 UI 技巧隱藏登入欄位
- 利用空白來延遲惡意的有效載荷
- 在合法的基礎架構 (例如:sites.google.com) 上寄存虛假的 Microsoft 或 Google 登入頁面
電子郵件驗證僅驗證訊息的來源,而非訊息的內容。
MetaDefender Sandbox:電子郵件行為的重要防禦層
OPSWAT的MetaDefender Sandbox增加了重要的可視性。沙箱並非依賴簽名或寄件者驗證,而是模擬電子郵件行為:
- 動態連結檢查- 在安全的環境中追蹤內嵌連結,即時評估頁面行為
- UI 與版面分析- 識別虛假登入畫面、隱藏欄位和憑證陷阱
- 網路釣魚流量偵測-偵測重定向、表單提交和攻擊者控制的端點
由於預設不信任電子郵件,因此MetaDefender Sandbox 可以偵測出基於驗證的解決方案所遺漏的部分。即使是已簽署、認證和「綠色檢查」的電子郵件也可能被武器化。MetaDefender 會揭露真正的意圖。
企業現在必須做的事
網路釣魚不斷演進。您的防禦系統也必須如此。以下是如何領先一步的方法:
- 採用零信任的Email Security-不要僅僅依賴標頭和元資料。檢查電子郵件內容和行為。
- 新增以行為為基礎的沙箱處理 -透過對連結、表單和有效載荷的動態分析,強化您的偵測堆疊。
- 保護 警示和系統電子郵件 -OAuth 和網域濫用使警示電子郵件也成為潛在的威脅媒介。
檢視驗證本身無法看到的內容
探索如何 OPSWAT MetaDefender Sandbox如何偵測進階的網路釣魚 - 即使是來自 Google 警示等「可信賴」的來源。立即與專家討論,瞭解如何將我們的進階沙箱放在您電子郵件安全策略的前線。
