链式网络钓鱼的兴起

传统的网络钓鱼依赖于容易识别的危险信号，如可疑的发件人和可疑的url。但现代网络钓鱼已经成熟。攻击者现在部署链式序列，在获取凭证之前，通过可信的基础设施从电子邮件中引导受害者。

员工可能会收到来自谷歌Drive或Dropbox的链接。乍一看，没什么不寻常的。但在点击之后，用户会被悄无声息地引导到一系列提示中，每个提示看起来都是可信的，直到他们在不知情的情况下将业务必需的凭据交给攻击者。

这种技术，我们称之为链式网络钓鱼，依赖于利用企业工具允许的合法平台和信誉良好的域，而IT安全团队却没有注意到。

浏览器网络钓鱼保护与保持警惕

实时阻止网络钓鱼攻击，其实应该从浏览器内部开始。浏览器已经成为知识工作者世界的中心。从代码审查到人力资源任务，几乎每个操作都在浏览器选项卡中开始和结束。

这种集中化为攻击者提供了一个可以利用的单一表面，但它却受到了极大的保护。当链接似乎来自已知域并遵循预期行为时，即使是最具安全意识的员工也可能被欺骗。用户通常认为他们正在进行正常的活动，直到为时已晚。

利用合法链接，通过电子邮件身份验证检查，甚至插入captcha，攻击者绕过传统防御，使零小时网络钓鱼在未被发现的情况下成功。

验证码和验证步骤现在在日常浏览中如此普遍，攻击者利用它们作为社会工程策略，不仅在网络钓鱼活动中，而且在其他基于浏览器的威胁中，如ClickFix。

使用被攻破的域、验证码和电子邮件验证的链接式鱼叉攻击示例

这种转变凸显了一个事实：已知的安全信号不再是可靠的安全信号。事实上，它已经成为网络犯罪分子的完美伪装。要真正解决像链式网络钓鱼这样的威胁，我们需要超越静态黑名单和基于域的过滤。网络钓鱼防护的未来在于实时分析网页和用户与网页的交互。

一些用于链链网络钓鱼攻击的合法平台

来自可信服务的网络钓鱼链接通常会通过电子邮件和网络过滤器。网络钓鱼网站的流量是允许畅通无阻的，因为域名不在情报提要上，其声誉也没有受到损害。由于没有部署恶意软件，只有凭证收集，端点工具没有什么可检测的。

尽管有分层防御，比如：

·安全电子邮件网关（seg）

·DNS过滤

·安全web网关（swg）

·EDR/AV

·本地浏览器保护

大多数组织仍然很脆弱。因为这些工具旨在阻止已知的恶意网络行为，并且端点解决方案对凭证收集web表单一无所知。对合法域名的微妙滥用，加上额外的规避技术，导致用户成为零小时网络钓鱼的受害者。

一些sequenced攻击利用可信路径，将用户引导到容易绕过传统防御的网络钓鱼站点。等到输入证书的时候，通常已经太晚了，而且大多数组织不会预料到这些攻击。

为了有效地减轻这些威胁，人们需要将安全转移到风险出现的地方：浏览器。从根源上制止网络钓鱼，而不仅仅是在外围。