近日，有安全研究人員警告稱(chēng)，有越來(lái)越多的網(wǎng)絡(luò)釣魚(yú)活動(dòng)利用谷歌加速移動(dòng)頁(yè)面(AMP)繞過(guò)電子郵件安全措施，進(jìn)入企業(yè)員工的收件箱。

谷歌AMP是由谷歌和30個(gè)合作伙伴共同開(kāi)發(fā)的一個(gè)開(kāi)源HTML框架，旨在加快網(wǎng)頁(yè)內(nèi)容在移動(dòng)設(shè)備上的加載速度。

AMP 網(wǎng)頁(yè)托管在谷歌的服務(wù)器上，內(nèi)容經(jīng)過(guò)簡(jiǎn)化，并預(yù)先加載了一些較重的媒體元素，以加快交付速度。

在釣魚(yú)郵件中嵌入谷歌 AMP URL 的目的是確保電子郵件防護(hù)技術(shù)不會(huì)因?yàn)楣雀璧牧己寐曌u(yù)而將郵件標(biāo)記為惡意或可疑郵件。

AMP URL 會(huì)觸發(fā)重定向到惡意釣魚(yú)網(wǎng)站，這個(gè)步驟還額外增加了一個(gè)干擾分析的層。

谷歌AMP重定向到釣魚(yú)網(wǎng)站，圖源：Cofense

反釣魚(yú)保護(hù)公司 Cofense 的數(shù)據(jù)顯示，使用 AMP 的網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量在 7 月中旬大幅飆升，這表明威脅行為者可能正在采用這種方法進(jìn)行一些行動(dòng)。

利用谷歌 AMP 實(shí)現(xiàn)隱身的釣魚(yú)電子郵件，圖源：Cofense

Cofense在報(bào)告中解釋說(shuō)：在目前觀察到的所有谷歌AMP URL中，約77%托管在google.com域名上，23%托管在google.co.uk域名上。

雖然 "google.com/amp/s/"路徑在所有情況下都很常見(jiàn)，但阻止這種路徑也會(huì)影響所有使用 Google AMP 的合法情況。不過(guò)，如果遇到了就直接打上標(biāo)記，這可能是最合適的做法，至少可以提醒收件人警惕潛在的惡意重定向。

額外的隱蔽性

Cofense 稱(chēng)，濫用 Google AMP 服務(wù)的網(wǎng)絡(luò)釣魚(yú)行為者還采用了一系列額外的技術(shù)，這些技術(shù)共同幫助他們躲避檢測(cè)并提高成功率。

例如，在 Cofense 觀察到的許多案例中，威脅行為者使用基于圖片的 HTML 電子郵件，而不是傳統(tǒng)的文本正文。這樣做的目的是混淆文本掃描儀，使其無(wú)法在郵件內(nèi)容中查找常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)術(shù)語(yǔ)。

基于圖像的網(wǎng)絡(luò)釣魚(yú)電子郵件，圖源：Cofense

在另一個(gè)案例中，攻擊者使用了一個(gè)額外的重定向步驟，通過(guò)濫用 Microsoft.com URL 將受害者帶到一個(gè) Google AMP 域，并最終將其帶到真正的釣魚(yú)網(wǎng)站。

攻擊者利用 Cloudflare 的 CAPTCHA 服務(wù)來(lái)阻止安全機(jī)器人對(duì)網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)進(jìn)行自動(dòng)分析，從而阻止爬網(wǎng)程序訪問(wèn)這些網(wǎng)頁(yè)。

總之，如今安全工具想要捕捉并阻止網(wǎng)絡(luò)釣魚(yú)行為者越來(lái)越難了，因?yàn)樗麄儾捎昧硕喾N規(guī)避檢測(cè)的方法。