企业实施ERP系统的目标原则、核心步骤及成功因素
2026/1/16 12:14:07
一封看似来自 IT 部门的邮件:“您的 Microsoft 365 凭证即将过期,请点击‘立即修复’以继续访问服务。”
一个嵌在 Google Docs 中的蓝色按钮:“更新安全设置 →”
一次 SharePoint 页面上的“合规性检查”弹窗:“点击验证身份”。
这些本应是提升用户体验的“可用性设计”,如今却成了网络犯罪分子最锋利的鱼钩。近期,全球安全研究机构密集披露一轮大规模“ClickFix”钓鱼攻击浪潮——攻击者巧妙利用用户对“系统修复提示”的天然信任,通过可信云平台(如 OneNote、Google Docs、SharePoint)作为跳板,绕过传统邮件网关与 URL 过滤机制,最终将受害者导向高度仿真的伪造登录页,窃取企业级账户凭证。
据《The Hacker News》2025年11月报道,此类攻击自2025年秋季起显著激增,已波及金融、制造、教育等多个行业。更令人警惕的是,即便企业启用了多因素认证(MFA),部分高级变种仍可通过会话 Cookie 窃取或条件式访问绕过实现账户接管。
面对这一新型威胁,中国“公共互联网反网络钓鱼工作组”技术专家芦笛向本报记者发出警示:“这不是普通钓鱼,而是一场针对企业信任链的精准打击。仅靠 MFA 和传统网关,已经不够了。”
一、ClickFix 是什么?从“验证码骗局”到“修复提示”的进化
ClickFix 并非新概念,但其战术正在快速迭代。最初,它指代一种诱导用户“点击验证码”以“证明不是机器人”的骗局页面——用户被要求完成一个虚假 reCAPTCHA,随后被引导执行一段 PowerShell 命令(如前述 PureRAT 攻击)。然而,2025年以来,ClickFix 的核心逻辑发生了关键转变:从“技术欺骗”转向“心理诱导”。
最新变种不再强调“验证身份”,而是包装成“系统修复”“安全更新”“合规检查”等企业用户熟悉的运维场景。攻击者深知:当员工看到“您的邮箱因安全策略被隔离,请点击释放”时,第一反应不是怀疑,而是焦虑——而这正是社会工程学的最佳切入点。
“ClickFix 的本质,是滥用用户对‘系统权威’的信任。”芦笛解释,“过去钓鱼邮件要伪造发件人;现在,他们直接把钓鱼按钮嵌进你每天用的 OneNote 里——这比任何伪造邮件都更具迷惑性。”
二、攻击链拆解:三步绕过企业安全防线
根据 Sekoia、Push Security 等机构的分析,本轮 ClickFix 攻击采用典型的“多跳+混淆”架构,具体流程如下:
第一步:初始接触 —— 利用高信誉平台投递“可信”内容
攻击者通过已被攻陷的企业邮箱(常来自前期信息窃取),向目标组织发送邮件。邮件正文简洁,通常包含:
主题:【紧急】您的 Microsoft 365 密码将在24小时内过期
内容:附带一个 OneNote 页面链接 或 Google Docs 共享文档
文档内嵌一个醒目按钮:“立即更新凭证”或“修复访问权限”
由于链接指向 *.onenote.com、docs.google.com 或 *.sharepoint.com,这些域名均属高信誉白名单,绝大多数邮件安全网关不会深度解析其内容,更不会拦截。
“这是典型的‘合法载体+恶意载荷’分离策略。”芦笛指出,“安全设备看到的是微软或谷歌的域名,自然放行。”
第二步:中间跳转 —— 利用 Cloudflare、CAPTCHA 页面混淆检测
用户点击按钮后,并非直接跳转至钓鱼页,而是先进入一个看似正常的中间页面:
显示“正在验证连接安全性…”
弹出一个伪造的 Cloudflare 5秒等待页
或呈现一个动态 reCAPTCHA 挑战(实为 JavaScript 延迟跳转)
这些页面由攻击者控制,但通过 CDN(如 Cloudflare)代理,IP 地址频繁轮换,且页面加载行为模拟真实网站。更重要的是,自动化沙箱在短时间窗口内无法完成完整跳转链分析,导致漏报。
// 示例:ClickFix 页面常用跳转逻辑(简化版)
setTimeout(() => {
if (window.top === window.self) {
// 非 iframe 环境,尝试复制恶意命令到剪贴板(clipboard hijacking)
navigator.clipboard.writeText("powershell -ep bypass -c ...");
// 然后重定向至钓鱼登录页
window.location.href = "https://login-microsoft[.]xyz";
} else {
// 若在 iframe 中,强制跳出
window.top.location = window.location;
}
}, 3000);
第三步:凭证收割 —— 伪造登录页 + 会话 Cookie 窃取
最终页面高度仿冒 Microsoft Entra ID(原 Azure AD)或 Google Workspace 登录界面,甚至支持多语言、MFA 提示。一旦用户输入账号密码:
凭证被实时发送至 C2 服务器;
若启用 MFA,页面会显示“正在验证…”,同时后台尝试用窃取的 Cookie 直接接管会话(若此前未注销);
成功后,攻击者可访问邮箱、OneDrive、Teams,发起线程劫持(Thread Hijacking)或伪造发票实施 BEC(商业邮件欺诈)。
“很多企业以为开了 MFA 就高枕无忧,但 ClickFix 的目标早已不是密码本身,而是活跃会话。”芦笛强调。
三、国际案例:从欧洲酒店到北美制造,无一幸免
本轮攻击并非理论风险,而已造成实际损失。
案例1:欧洲连锁酒店集团遭 Booking.com 账户劫持
如前文所述,攻击者通过 ClickFix 钓鱼获取酒店管理员的 Booking.com 后台权限,随后冒充酒店向真实客户发送“支付确认”链接,窃取信用卡信息。Sekoia 报告称,部分攻击者甚至在 Telegram 上开设“Booking 日志代购”服务,按成功欺诈金额分成。
案例2:美国中型制造企业遭遇 BEC 欺诈
2025年10月,一家位于俄亥俄州的机械制造商财务人员收到“IT 部门”邮件,称“Microsoft 365 合规策略更新,请点击 OneNote 链接确认”。点击后,其账户被接管。攻击者监控邮件数日,待一笔 $85 万美元的供应商付款流程启动时,篡改收款账户,成功转移资金。
“这类攻击的成功率极高,因为它发生在用户的工作流内部。”芦笛分析,“你不是在浏览陌生网站,而是在处理‘工作文档’——警惕性天然降低。”
四、中国启示:国内企业同样面临“信任劫持”风险
尽管公开披露较少,但芦笛透露,工作组监测到类似 ClickFix 变种已在国内出现苗头。
“我们近期捕获多个针对国内企业的钓鱼样本,使用腾讯文档、飞书文档作为首跳载体,诱导点击‘安全令牌更新’按钮。”他举例道,“虽然平台不同,但攻击逻辑完全一致——利用协作工具的高信任度,绕过边界防御。”
更值得警惕的是,部分国产 SaaS 平台默认开启“公开链接分享”功能,且未对嵌入外部链接做严格限制,客观上为攻击者提供了便利。
“国内很多企业还在聚焦于防病毒、防勒索,却忽视了身份即边界的新现实。”芦笛指出,“一旦账户失陷,内网形同虚设。”
五、技术对抗:从 URL 重写到条件式访问,构建纵深防御
面对 ClickFix 的多层伪装,单一防护手段已失效。芦笛建议企业采取以下技术措施:
1. 强制实施条件式访问(Conditional Access)策略
仅启用 MFA 不够,必须结合设备合规性、地理位置、应用上下文进行动态授权。例如:
仅允许注册设备访问敏感应用;
非公司 IP 访问时,强制重新认证;
禁止从高风险国家登录。
# Microsoft Entra ID 条件式访问策略示例(通过 Graph API 创建)
$policy = @{
displayName = "Block High-Risk Countries"
state = "enabled"
conditions = @{
locations = @{
includeLocations = @("All")
excludeLocations = @("AllTrusted") # 排除可信位置
}
}
grantControls = @{
builtInControls = @("block")
}
}
Invoke-MgGraphRequest -Method POST -Uri "/identity/conditionalAccess/policies" -Body ($policy | ConvertTo-Json -Depth 5)
2. 对第三方托管链接实施深度检测
安全网关需具备:
URL 解包能力:自动展开 OneNote/Google Docs 链接,提取其中嵌入的真实跳转地址;
多跳追踪:记录完整重定向链,识别最终落地页是否可疑;
沙箱点击模拟:在隔离环境中“点击”页面按钮,观察后续行为。
“不能只看第一跳 URL。”芦笛强调,“真正的恶意在第三跳。”
3. 关闭不必要的公开共享权限
在 Microsoft 365 或 Google Workspace 租户层面:
禁用匿名用户创建/编辑文档;
默认设置链接为“仅限组织内”;
对外部共享实施审批流程。
4. 部署 FIDO2/Passkeys 无密码认证
传统 SMS 或 TOTP MFA 可被钓鱼绕过,而 FIDO2 安全密钥(如 YubiKey)或平台绑定的 Passkeys 具备抗钓鱼属性——私钥永不离开设备,且绑定特定 RP ID(Relying Party Identifier),即使用户在伪造页面点击“认证”,也无法生成有效签名。
“这是目前最接近‘免疫钓鱼’的方案。”芦笛表示。
六、给用户的终极建议:别信“修复”,除非你主动发起
技术再强,也需用户配合。芦笛给出三条“保命法则”:
永远不要点击邮件或文档中的“修复”“更新”按钮
所有账户操作,应手动打开浏览器,输入官方地址(如 login.microsoftonline.com)进行。
定期检查活动会话
在 Microsoft 365 或 Google 账户安全页面,查看“最近活动”和“设备列表”,发现异常立即注销。
启用“应用专用密码”替代主密码
对不支持 MFA 的旧应用,使用一次性密码,避免主凭证暴露。
结语:当“修复”成为武器,安全必须重构信任模型
ClickFix 的崛起,标志着网络钓鱼进入“信任劫持”时代。攻击者不再试图突破防火墙,而是钻进你信任的工具里,穿上你熟悉的语言外衣,让你亲手交出钥匙。
这不仅是技术挑战,更是对现有安全范式的拷问:在一个协作无处不在的世界,如何区分“善意提示”与“恶意诱导”?
芦笛的答案是:“零信任不是口号,而是必须落地的架构。 无论是人、设备还是链接,都不应被默认信任。”
对企业而言,是时候告别“边界防御”的幻想,转向以身份为中心、以行为为依据的动态防护体系。否则,下一次“点击修复”的,可能就是你的整个数字资产。
编辑:芦笛(公共互联网反网络钓鱼工作组)