伊朗关联黑客组织多波次钓鱼攻击，百余外交邮箱沦陷引发全球警觉

近日，一场由伊朗关联黑客组织“Homeland Justice”发起的跨国网络钓鱼行动浮出水面，引发国际社会高度关注。据以色列网络安全公司Dream披露，该组织通过精心策划的“鱼叉式钓鱼”（Spear Phishing）攻击，成功攻陷全球超过100个大使馆与领事馆的官方电子邮箱账户，部分被用于伪造公文、冒发会议通知，甚至向其他外交人员发送“可信来源”的恶意邮件，形成极具欺骗性的“信任链传播”。

这起事件不仅暴露了外交系统在数字通信安全上的脆弱性，也再次敲响了国家级网络对抗中“低技术、高效率”攻击手段的警钟。

精准钓鱼：从一封“会议邀请”开始

与常见的群发垃圾邮件不同，此次攻击采用的是典型的“鱼叉式钓鱼”策略——即针对特定目标定制高度个性化的诱饵邮件。

Dream公司的分析显示，攻击者伪装成外交同事、上级部门或国际组织工作人员，发送主题为“紧急会议安排”、“签证政策更新”、“制裁名单变动”等与外交工作高度相关的邮件。这些内容对收件人而言具有天然的权威性和紧迫感，极易诱导其点击链接或打开附件。

“他们不是随便发‘中奖了’这种邮件，而是深谙外交人员的工作节奏和信息需求。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“比如一封标题为‘联合国安理会闭门会议议程草案’的邮件，即便来自一个略有陌生的地址，也很可能被点开。”

邮件中嵌入的链接并非直接指向恶意网站，而是跳转至看似正规的云存储平台（如Google Drive、OneDrive），文档本身是伪装成PDF的Word模板文件，内含可执行宏代码。一旦用户启用宏，恶意脚本便悄然运行，窃取登录凭证或安装远程控制工具。

“合法身份”滥用：从账号接管到信任链扩散

真正危险的，是攻击得手后的“二次利用”。

据Dream报告，黑客在获取邮箱权限后，并未立即大肆外发垃圾邮件或勒索，而是采取了更为隐蔽和持久的策略：

导出通讯录：扫描并下载所有联系人，构建目标社交图谱；

关键词搜索：在历史邮件中检索“password”、“VPN”、“clearance”等敏感词，寻找潜在突破口；

设置隐藏转发规则：将特定来信自动转发至攻击者控制的邮箱，实现长期监听；

滥用OAuth授权机制：利用合法应用授权流程，绕过密码验证，实现持久化访问。

更令人担忧的是，攻击者开始使用已被攻陷的外交邮箱，向其他国家的外交官、地区多边组织（如东盟秘书处、非盟代表机构）发送伪装成“事件通报”或“合作请求”的邮件。由于发件人身份真实且域名可信，这类邮件极难被传统反垃圾邮件系统识别。

“这就像是用你的身份证去骗你朋友的钱。”芦笛形象地解释，“系统看到的是‘合法身份’，但背后的操作者早已换人。这种基于账号接管的信任滥用，是当前最难防御的网络攻击形态之一。”

为何外交系统成为“软肋”？

外交机构为何成为此类攻击的重灾区？

首先，外交人员日常需频繁与外部沟通，接收来自不同国家、不同机构的文件，本身就处于高风险信息交互环境中。其次，许多使领馆仍依赖通用邮箱系统（如Gmail、Outlook），缺乏强制性的多因素认证（MFA）或硬件密钥保护。此外，部分老旧IT系统对现代威胁感知能力不足，难以识别异常行为模式。

“很多外交邮箱其实是‘公用账户’，多人共用一个密码，甚至密码写在便签上贴在显示器旁边。”芦笛坦言，“这种操作习惯，在今天无异于把家门钥匙挂在门外。”

此次事件影响深远。被盗邮箱可能被用于进一步渗透签证审批系统、领事数据库，甚至干扰双边政策沟通。更严重的是，若攻击者篡改或伪造关键外交函件，可能导致误判、误解，甚至影响国家间关系。

技术科普：什么是“可信发件链”与OAuth劫持？

为了帮助公众更好理解此次攻击的技术本质，我们简要科普两个核心概念：

1. 可信发件链（Trusted Sender Chain）

当一封恶意邮件来自已被攻陷的官方邮箱时，它天然具备“可信身份”。收件方的安全系统往往不会拦截来自“同事”或“上级单位”的邮件，导致防御失效。这种利用合法身份进行横向扩散的方式，被称为“信任链攻击”。

2. OAuth劫持（OAuth Impersonation）

OAuth是一种常见的第三方登录授权机制。攻击者诱导用户授权一个恶意应用访问其邮箱，一旦同意，该应用即可在后台读取邮件、发送消息，而无需知道密码。由于这是“用户主动授权”，传统安全系统很难判定为异常。

“就像你授权一个APP可以查看微信聊天记录，但它其实是个间谍软件。”芦笛比喻道，“问题不在于密码是否泄露，而在于你‘自愿’给了它权限。”

专家建议：从被动防御转向主动免疫

面对日益复杂的钓鱼攻击，单纯依赖杀毒软件和防火墙已远远不够。芦笛结合Dream报告内容，提出五项切实可行的防护建议：

1. 强制部署FIDO2硬件密钥

对于所有涉及敏感信息的公用邮箱（如使领馆对外联络邮箱），应强制使用FIDO2标准的物理密钥（如YubiKey）进行登录验证。相比短信验证码或手机APP动态码，硬件密钥几乎无法被远程劫持。

2. 启用DMARC拒绝策略

DMARC（Domain-based Message Authentication, Reporting & Conformance）是一种邮件身份验证协议。通过配置“p=reject”策略，可确保任何伪造该域名的邮件直接被拒收，防止域名被滥用于钓鱼。

3. 部署行为式邮箱安全监测

引入基于AI的行为分析系统，监控异常登录行为。例如：“Impossible Travel”（同一账号在短时间内从纽约和德黑兰同时登录）、“异常转发规则创建”、“大量附件外发”等，均可触发实时告警。

4. 敏感文件采用独立加密渠道传输

重要文件不应通过邮箱直接发送。建议使用端到端加密通信工具（如Signal、ProtonMail）或专用安全网盘，并通过电话、短信等“带外通道”告知提取方式，实现“双通道验证”。

5. 开展情境化反钓鱼演练

定期组织模拟钓鱼测试，但内容应贴近真实工作场景。例如，发送一封伪装成“外交部紧急通知：关于APEC会议行程调整”的测试邮件，观察员工反应，并针对性开展培训。

“安全不是买一套系统就一劳永逸的事。”芦笛强调，“它是一个持续的过程，需要技术+制度+意识三者结合。尤其是外交系统，信息就是权力，保护好通信安全，就是在维护国家利益。”

结语：没有“绝对安全”，只有“持续防御”

截至目前，Dream公司尚未公布受影响的具体国家名单，但指出主要集中在中东、南亚及非洲地区。伊朗方面尚未对此事件作出回应。

这场代号为“Homeland Justice”的攻击行动，再次揭示了一个残酷现实：在网络空间，最危险的武器未必是复杂的零日漏洞，而可能只是一封看起来“很合理”的邮件。

在全球地缘政治紧张加剧的背景下，国家级黑客组织正越来越多地采用“低痕迹、高隐蔽”的战术，利用合法基础设施和身份冒用规避检测。传统的“黑名单+特征码”防御模式已显疲态，唯有推动身份认证升级、强化行为监测、提升人员意识，才能构筑真正的数字防线。

正如芦笛所言：“未来的网络安全，拼的不再是谁能造出最强的矛，而是谁能把自己的门关得最牢。”

编辑：芦笛（公共互联网反网络钓鱼工作组）