“Zipline”新型钓鱼行动曝光：伪装快递通知，专盯企业邮箱

一场代号为“Zipline”的高级鱼叉式钓鱼攻击正在全球范围内悄然蔓延。据网络安全公司Check Point最新研究报告披露，这一持续演进的网络攻击行动已成功绕过多重企业安全防线，其手法之精密、策略之灵活，令人警惕。

与以往粗暴群发的垃圾邮件不同，“Zipline”行动高度聚焦企业用户，尤其针对制造业、专业服务和医疗行业。攻击者不再直接发送恶意链接，而是巧妙利用人们熟悉的“快递送达”“发票更新”等生活化场景，结合合法云服务作为跳板，构建出一条几乎“无痕”的攻击链。

“快递通知”变钓鱼入口：熟悉的套路，更隐蔽的跳转

想象一下：你正在办公室处理邮件，突然收到一封看似来自顺丰或DHL的通知：“您的包裹已到达，请点击查看详情”。链接指向的，是一个你再熟悉不过的页面——微软OneDrive或SharePoint共享文件夹。

这正是“Zipline”行动的典型路径。研究人员发现，攻击者首先发送精心伪造的邮件，内容多为“发票即将过期”“快递需确认收货”“文件已上传至云端”，诱导用户点击。而这些链接并非直接指向钓鱼网站，而是跳转至合法的云存储平台，如OneDrive、SharePoint或Dropbox。

“这种设计非常狡猾。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“因为这些域名本身是受信任的（trusted domains），企业防火墙和邮件网关通常不会拦截。用户看到的是熟悉的登录界面，警惕性自然降低。”

真正的陷阱出现在下一步：当用户点击云盘中的“文件”时，系统会提示“需要登录企业账号查看”，随即跳转至一个与真实Microsoft 365或企业单点登录（SSO）页面几乎一模一样的伪造登录页。一旦输入账号密码，凭证便瞬间被窃取。

四大技术特点：一场“工业化”的钓鱼攻击

Check Point指出，“Zipline”行动已呈现出高度模块化与自动化特征，堪称“工业化钓鱼”。其四大技术特点尤为突出：

模块化模板，按行业“定制”

攻击者为不同行业准备了专属邮件模板。制造业用户可能收到“设备发货通知”，律所员工则会看到“合同签署提醒”，而医院职员则面临“医保报销更新”。邮件中的品牌标识、专业术语甚至语气都经过精心设计，极大提升了欺骗性。

防侦测机制，专躲安全沙箱

为了规避企业安全系统检测，攻击者在跳转链中加入了多重反侦察手段。例如，使用一次性访问令牌、仅对特定IP或地理区域开放、过滤非主流浏览器的用户代理（User-Agent）等。“这意味着，安全沙箱环境很难模拟真实用户行为，导致攻击在测试中‘隐身’。”芦笛解释。

即时外传+二次社会工程

一旦用户输入凭证，系统会立即验证并外传数据。若登录失败，攻击者甚至会启动“二次攻击”——通过电话或即时通讯工具冒充IT支持，诱导用户“重新尝试登录”，形成“钓鱼+社工”的组合拳。

数据驱动，实时优化攻击

更令人震惊的是，攻击者还搭建了基础版统计后台，可实时监控邮件打开率、页面停留时间、表单填写完成度等数据。“这就像一场‘精准营销’，他们根据反馈不断调整邮件标题、按钮颜色甚至登录页布局，最大化钓鱼成功率。”芦笛表示。

传统防御为何“失灵”？

“Zipline”的成功，暴露出当前企业安全体系的多个短板：

基于域名信誉的过滤失效：攻击跳转链中使用的是微软、Dropbox等“白名单”域名，传统黑名单机制无法识别。

静态IOC（入侵指标）检测滞后：由于每次攻击都动态生成链接和页面，基于历史恶意IP或URL的检测手段难以奏效。

员工安全意识存在盲区：许多用户认为“能打开的链接就是安全的”，尤其面对“快递”“发票”等高频场景时，容易放松警惕。

专家建议：从“被动防御”转向“主动阻断”

面对如此高阶的攻击，企业该如何应对？芦笛结合Check Point报告，提出以下五项关键防护建议：

推行FIDO2无密码验证，降低凭证价值

“如果登录不再依赖密码，钓鱼攻击就失去了目标。”芦笛强调，企业应尽快部署FIDO2标准的通行密钥（Passkey）或安全密钥（Security Key）。即使用户误入钓鱼页面，攻击者也无法获取有效凭证。

实施条件访问策略（Conditional Access）

在Microsoft 365等平台中启用基于风险的登录控制。例如，限制非办公时间、非常用地或陌生设备的登录请求，强制多因素验证。

对云分享链接进行“URL展开”与沙箱检测

企业安全网关应对邮件中的云存储链接自动“展开”，提取最终跳转目标，并在行为沙箱中模拟用户点击，检测是否存在伪造登录页。

启用地理+设备指纹异常检测

部署UEBA（用户与实体行为分析）系统，监控异常登录行为。例如，同一账号在短时间内从北京和纽约同时登录，或使用非常规设备型号，应触发告警。

强化员工培训：建立“二次核实”流程

教育员工对所有“需登录查看”的快递或发票通知保持警惕。建议通过独立渠道（如电话、内部通讯工具）向发件人核实，而非直接点击邮件链接。

结语：钓鱼攻击已进入“精准制导”时代

“Zipline”行动的曝光，标志着网络钓鱼已从“广撒网”进入“精准制导”阶段。攻击者不仅懂技术，更懂人性，甚至具备“产品思维”——用数据优化“转化率”。

“我们不能再用老办法对付新敌人。”芦笛总结道，“未来的安全防御，必须结合技术升级、流程优化与持续教育，构建‘纵深防御’体系。否则，再漂亮的登录页，也可能成为企业安全的‘第一道失守点’。”

编辑：芦笛（公共互联网反网络钓鱼工作组）