在今日网络安全领域，网络钓鱼攻击的手段不断演化，黑客们利用合法的网络服务发动攻击的事件屡见不鲜。最近的报告显示，一些攻击者正在采用Active Directory Federation Services (ADFS)，通过合法的office.com链接开展网络钓鱼，给用户的信息安全带来了前所未有的威胁。这种攻击模式的复杂性使得许多信息安全防护措施在面对这样的新型威胁时显得无能为力。

根据Push Security的最新调查，攻击者开发了一种新型的钓鱼技术，结合了最新的反检测技术，巧妙地利用Microsoft提供的服务，将受害者诱导至钓鱼网站。这一过程的关键在于如何通过合法的链接向用户展示钓鱼页面，而不会被电子邮件安全、代理扫描器、URL情报源或网页分析工具所拦截。研究团队发现，攻击者利用了一种开放重定向漏洞，从一个合法的outlook.office.com链接重定向到钓鱼网站。

为了更深入理解这一攻击过程，研究人员利用时间线功能分析了受害者的整个浏览活动链。钓鱼页面本身并没有什么特别之处，乍一看似乎与微软的登录页面并无差异。然而，它通过一种颇为复杂的手法，窃取了用户的会话，并在绕过多因素身份验证（MFA）的同时将用户的认证信息发送给攻击者。这种技术使得攻击者能够以一种几乎无法被察觉的方式获取用户的凭证。

在调查中，研究团队发现，受害者是通过搜索引擎找到了恶意链接的。他们在Google中搜索“Office 265”（显然是个拼写错误），点击了一个链接，被引导至一个看似正常的Office登录页面。这个链接实际上包含了一些Google广告跟踪参数，表明受害者点击的实际上是一个广告链接。这种情况表明，攻击者采用了恶意广告（malvertising）的策略，让受害者通过搜索引擎点击到恶意链接，从而增加了成功率。

调查显示，这个攻击链的转折点在于包含了一个不法域名bluegraintours.com，这个域名悬在了一个看似正常的office.com链接路径中。起初，研究人员以为这个域名是一个被攻击者入侵的合法网站，但后来发现它实际上是一个专门为此次攻击而伪造的虚假网站，目的是作为一次隐形的重定向。

攻击者通过配置自己的ADFS，创建了一个自定义的微软租户，利用这一技术能够使微软对钓鱼网站进行重定向。ADFS常用于将本地Active Directory与云服务（如Microsoft 365或Azure Active Directory）连接，因此当用户尝试访问某些特定页面时，微软会将其引导至攻击者设定的恶意域名。这一方法极具巧妙，外观上几乎无可挑剔地伪装成了正常的Microsoft服务，使得很多防护系统无法有效识别。

随着技术的不断进步，钓鱼攻击的手段也越来越隐蔽，尤其是在社交工程的背景下，混合型攻击手法逐渐成为主流。这种合规性与复杂性的变化为攻击者提供了新的机会，他们利用知名品牌的信誉和用户的信任，实施更加精确的攻击，尤其是针对企业用户。钓鱼攻击的演化不仅挑战了信息安全界限，更崛起了丰富的攻击场景，令反钓鱼、防护技术面临全新的挑战。

值得强调的是，尽管攻击者的技术手段不断提高，但这并不意味着防御措施无效。通过对ADFS重定向的监测，组织可以识别出潜在的恶意活动，如对某些域名结构的监控。在使用ADFS的机构中，能够相对容易地区分出合法的重定向请求与可疑的请求。利用现代的防护工具和增强的安全意识，组织能够更好地防范这类攻击。

此外，部署广告拦截工具也是遏制这种恶意广告攻击的有效手段，尽管这只是应对恶意广告渠道中的一个解决方案。在当今信息化的快速发展中，网络攻击的渠道已不局限于电子邮件，社交媒体、即时通讯等都可能成为攻击者利用的对象。

通过这种网络钓鱼攻击，攻击者实现了在可信赖的平台上运行其恶意活动，使得当今的反钓鱼措施面临着全新的挑战。随着越来越多的用户和企业依赖云服务，这种使用合法服务作为攻击基础的手法极为有效。面对层出不穷的网络威胁，各个组织必须保持警惕，通过不断的培训、技术更新和安全投资，继续加强自身防护能力。尤其是在企业环境中，保持对最新网络安全技术与威胁的敏感性，将是确保信息安全的关键所在。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！