利用Google Sites和DKIM重放攻击的高级钓鱼手法分析与防御指南

利用Google Sites和DKIM重放攻击的高级钓鱼手法分析与防御指南 攻击概述 安全研究人员发现了一种高度复杂的网络钓鱼攻击手法，攻击者通过非常规手段利用Google基础设施发送伪造邮件，并将收件人重定向至窃取凭证的欺诈网站。这种攻击结合了Google Sites托管欺诈页面和DKIM重放技术，使得邮件看起来完全合法。 攻击流程详解 1. 邮件伪造与签名验证 合法外观 ：钓鱼邮件显示为从 no-reply@google.com 发送，通过DKIM(域名密钥识别邮件)签名验证 Gmail显示 ：邮件无任何警告标志，且被归入合法的安全警报会话中 标头欺骗 ： "Signed by"(签名者)标头显示为 accounts.google[.]com "Mailed by"(发件人)标头使用无关域名( fwd-04-1.fwd.privateemail[.]com ) 2. 欺诈内容设计 诱饵主题 ：谎称收件人收到执法机构传票，要求提供Google账户中的特定内容 诱导链接 ：使用 sites.google[.]com 链接，声称可"查阅案件材料或提交申诉" 页面跳转 ：点击链接后跳转至模仿Google支持页面的伪造网站 3. Google Sites滥用 托管欺诈页面 ：攻击者在Google Sites上托管仿冒的Google账户登录页面 技术特性利用 ： Google Sites允许在 google.com 子域名托管内容 支持任意脚本和嵌入功能 缺乏直接的滥用内容举报渠道 持久性策略 ：旧版欺诈网站被删除后，攻击者可快速上传新版本 4. DKIM重放攻击技术细节 初始账户创建 ：攻击者为新域名创建Google账户( me@<域名> ) OAuth应用注册 ：以钓鱼邮件全文作为应用名称注册Google OAuth应用 触发安全警报 ： 授权OAuth应用访问 me@... 谷歌账户 触发Google发送带有有效DKIM签名的"安全警报"邮件 邮件转发 ： 通过Outlook账户转发该邮件(保留DKIM签名) 经由Jellyfish定制SMTP服务中转 最终通过Namecheap的PrivateEmail基础设施投递至目标Gmail邮箱 显示欺骗 ： Gmail显示消息发送给"me"(当收件人地址与用户邮箱相同时的简写) 所有SPF、DKIM和DMARC验证均显示通过 相关攻击趋势 SVG附件钓鱼 ： 2025年初发现超过4,100封携带SVG附件的钓鱼邮件 利用SVG可嵌入HTML和JavaScript代码的特性 诱导用户访问伪造的微软登录页面或谷歌语音仿冒网站 配置错误利用 ： 攻击者曾利用电子邮件安全厂商Proofpoint的配置错误漏洞(已修复) 发送数百万封冒充知名企业的邮件绕过认证措施 防御措施 1. 用户防护建议 启用双重认证 ：为账户添加额外安全层 使用通行密钥 ：替代传统密码验证 警惕异常邮件 ： 即使邮件看起来合法，也要对索要凭证的行为保持警惕 注意"发送给me"的异常显示 验证链接 ： 悬停查看链接实际地址 不直接点击邮件中的链接，手动输入已知安全网址 2. 组织防护建议 邮件安全配置 ： 实施严格的SPF、DKIM和DMARC策略 监控异常的邮件转发行为 员工培训 ： 定期进行钓鱼识别培训 建立可疑邮件报告机制 技术防护 ： 部署高级邮件安全解决方案 监控和拦截包含SVG等特殊附件的可疑邮件 3. 服务提供商措施 Google已采取的修复 ： 部署措施阻断该滥用途径 加强Google Sites的内容审核 持续监控 ： 监测类似的新型攻击手法 快速响应和关闭被滥用的服务 总结 这种高级钓鱼攻击展示了攻击者如何巧妙利用合法服务的漏洞和特性来实施欺诈。通过理解攻击的工作原理和技术细节，用户和组织可以更好地识别和防范此类威胁。保持警惕、采用多层次安全措施，并及时更新防护策略是应对此类复杂攻击的关键。