基于 URL 的钓鱼邮件在发送成功率上完胜附件的钓鱼邮件 周鸿祎：中国大语言模型和GPT-4差距在两三年，GPT-6后可能会有意识第四范式发布升级版类GPT产品「式说」，新增多模态理解和企业级Copilot能力苹果CEO库克谈与中国关系：在共同成长 寻求互利合作对标DLSS3 AMD确认游戏大杀器FSR3将开源：RX 7900显卡性能翻倍9999元 AOC新款44.5英寸带鱼屏上架：165Hz VA面板Redmi K60新版已在路上：芯片换成了天玑9200+众筹1亿的《流浪地球2》周边偷工减料翻

几十年来，传统钓鱼邮件的头几步一直没有发生变化：邮件含有恶意 URL 或附件。然而近年来，URL 嵌入在网络钓鱼邮件中作为吸引目标受害者的初始手段，其到达目标受害者的速度远高于同样目的的附件。我们去年的数据显示，URL 在 2022 年相比附件继续占主导地位，这有几个原因：可滥用的可信域名、互联网上提供网络钓鱼基础设施的免费服务以及重定向的规避效果。

与 CredPhish 相关的基于 URL 的网络钓鱼占有很高的比例

URL 继续占主导地位的这种趋势出现在到达企业组织的钓鱼邮件中，许多企业组织都受到知名的安全电子邮件网关（SEG）的保护。

图 1. 2021 年和 2022 年，到达收件箱的基于 URL 的钓鱼邮件和基于附件的钓鱼邮件各自的份额。

基于 URL 的钓鱼邮件比基于附件的邮件更容易逃脱 SEG 的检测，这可能有诸多原因。如果可信域名被滥用，URL 可能具有固有的信任级别。SEG 在识别恶意文件方面可能比识别 URL 来得更好。相当高比例的良性营销邮件含有来自来历不明的 URL，因此很难与来自未知来源的恶意 URL 区分开来。除了 SEG 外，威胁分子有更充分的理由使用 URL，因为在当今的工作环境中，用户可能更习惯点击未知链接，而不是点击未知附件。图 1 中的两张图表显示，在 2021 年至 2022 年，基于 URL 的钓鱼邮件所占的份额没有显著变化，但继续比使用附件高出四倍。使用附件所占的份额增加了大约 3%。

传统的钓鱼邮件通常以窃取凭据或投递恶意软件为目标。附加的文件和嵌入的 URL 都可以用于实现这些目标中的任何一个。图 2 显示，尽管投递恶意软件的电子邮件比凭据网络钓鱼邮件更多地使用附件作为引诱受害者的方法，但两者都主要由嵌入式 URL 发起。

图 2. 比较 2022 年用于凭据网络钓鱼和恶意软件投递的恶意链接和恶意附件。

一般来说，我们预计会看到更高比例的 URL 出现在凭据网络钓鱼中。这主要是由于大多数凭据网络钓鱼的变体已经要求使用 URL。网络钓鱼即服务及其他预构建的网络钓鱼工具常常倾向于使用 URL。然而使用附件仍然很常见，HTML 和 PDF 等文件类型是凭据网络钓鱼邮件附件中最常见的类型。

如前所述，使用附件投递恶意软件比我们在凭据网络钓鱼活动中看到的更突出。这可能是由于大多数恶意软件投递已经要求使用文件作为最终载荷，这意味着威胁分子已经有点熟悉文件的使用。下面这种情况也很常见：威胁分子企图投递恶意软件，将恶意文件包含在受密码保护的 ZIP 压缩包中，以阻挠 SEG 分析。这增加了我们看到到达最终用户的钓鱼邮件的数量。此外，QakBot 和 Emotet 等一些更高级的大肆传播的恶意软件家族已知在邮件中使用附件，但它们也的确使用嵌入式 URL。

钓鱼 URL 及其规避策略

钓鱼 URL 是目前最流行的吸引受害者的方法，用在到达收件箱的钓鱼邮件中。威胁分子采用的钓鱼策略以绕过电子邮件安全基础设施而出名，助长了这种情形。到达最终用户的钓鱼 URL 常常在嵌入式 URL 中使用以下策略之一（不过也存在其他策略）：

可信域名——云服务等可信服务常常被威胁分子滥用以托管恶意内容。这意味着他们的钓鱼网站将托管在被最终用户和 SEG 等安全基础设施视为可信的域名上。滥用这些服务的钓鱼邮件常常能成功地到达预定目标，因为这些域名无法被完全屏蔽。

公开可用的服务——威胁分子经常寻求免费或廉价的服务，以便在网络钓鱼活动中滥用这些服务。这常常甚至会导致他们的 URL 也有可信域名。任何免费或廉价的托管平台都面临被威胁分子滥用的风险。

多次重定向——这是一种常见的策略，嵌入在钓鱼邮件中的 URL 不是钓鱼攻击的第一阶段。通过使用多次重定向并创建有待分析的恶意 URL 链，威胁分子常常可以从初始 URL 重定向到最终页面，最终页面被直接用于下载恶意软件或窃取凭据，而 SEG 来不及分析。

图 3. 使用恶意链接的钓鱼邮件示例。

恶意附件经配置后以到达收件箱

为了有效地利用网络钓鱼邮件中的恶意附件，可以采用许多潜在的策略。恶意附件有各种用途，包括直接获取凭据、加入已压缩的其他恶意文件、重定向到钓鱼 URL、充当恶意软件的第一阶段下载器，以及其他许多用途。此外，所使用的附件类型通常取决于所投递的威胁。我们在含有恶意附件的网络钓鱼邮件中看到的一些最常见的策略如下：

受密码保护的文件——威胁分子通常使用受密码保护的文件（比如 ZIP 压缩包）来绕过安全机制，到达预定目标。Emotet 因使用这种策略而臭名昭著，经常传播大量带有恶意 Office 文件的邮件，这些文件被压缩到受密码保护的 ZIP 压缩包中。密码常常放在预定目标容易找到的地方，比如邮件正文。

不熟悉的附件——威胁分子经常寻找安全研究人员可能不知道、有机会绕过 SEG 的的新型附件。由于这种威胁简单、明显，大多数 SEG 会轻松捕获和阻止直接附加的恶意可执行文件。然而威胁分子已意识到了这一点，最近我们看到 QakBot 威胁团伙发送直接附加的 .ONE 文件，这似乎有效地逃避了 SEG 的检查。

编码过的文件——文件编码是一种使恶意附件难以分析的常见方法。HTML 文件是威胁分子进行编码的一种非常流行的文件类型，但编码是众多文件类型中很常见的一种策略。

图 4. 使用恶意附件的钓鱼邮件示例。