冒充同事、接管邮件会话：新型“可信回复”钓鱼攻击席卷企业

你有没有收到过一封看似来自同事的邮件，内容是关于一笔紧急付款、一份新合同附件，或是入职流程的确认？语气熟悉、上下文连贯，甚至带着你们团队惯用的签名格式——但其实，发件人根本不是你的同事，而是早已潜伏在公司邮箱系统里的诈骗分子。

这不是科幻剧情，而是正在全球企业中蔓延的真实威胁。据美国福克斯新闻（Fox News）近日报道，一种被称为“会话劫持钓鱼”（reply-chain phishing）的新型网络钓鱼攻击正变得愈发普遍且难以识别。攻击者不再依赖拼写错误百出的“尼日利亚王子”式邮件，而是通过窃取真实的邮件线程，伪装成可信联系人，在已有对话中“无缝插入”，诱导员工点击恶意链接、下载木马，甚至直接篡改银行账户信息完成资金转移。

从“假邮件”到“真对话”：钓鱼攻击的“高仿”进化

传统钓鱼邮件往往破绽明显：发件地址可疑、语言生硬、催促感过强。但如今的攻击者已经“升级装备”。他们首先通过信息窃取木马（如RedLine Stealer）、暴力破解IMAP协议，或滥用OAuth授权令牌（例如伪装成合法办公应用请求权限），入侵一名普通员工甚至第三方供应商的邮箱。

一旦获得初始访问权限，攻击者并不会立刻行动。相反，他们会悄悄设置邮件自动转发规则，或注册一个外观几乎一模一样的域名（如将 company.com 改为 companv.com），然后耐心“潜伏”数天甚至数周，观察内部沟通模式、财务流程和常用术语。

最关键的一步来了：当某封涉及付款、采购或人事安排的真实邮件线程正在进行时，攻击者会以“回复全部”（Reply All）的形式插入一条看似合理的消息——比如：“请将发票付款账户更新为以下新账号”，并附上一个伪造的PDF或Excel文件。由于邮件上下文真实、发件人显示为“同事姓名”，收件人极难察觉异常。

“这种攻击之所以危险，是因为它利用了人类最基础的信任机制——我们默认工作邮件是安全的。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“当一封邮件出现在你熟悉的对话链里，又有正确的签名和语气，大脑会自动降低警惕。这比任何AI生成的‘完美话术’都更具欺骗性。”

技术内核揭秘：OAuth滥用与邮件协议漏洞成突破口

芦笛进一步解释，这类攻击的技术基础主要依赖三大入口：

OAuth令牌滥用：许多员工在不知情的情况下，授权了伪装成“日历同步”“文档助手”的第三方应用。这些应用一旦获得邮箱读写权限，就能静默读取邮件、发送消息，甚至绕过多因素认证（MFA）——因为系统认为这是“已授权应用”的正常行为。

IMAP/POP3协议暴力破解：部分企业仍允许使用较老的邮件协议，而这些协议缺乏现代安全机制。攻击者可通过自动化工具对弱密码账户进行爆破，一旦成功即可直接同步全部邮件内容。

邮件头伪造与SPF/DKIM绕过：尽管主流邮箱服务商支持SPF（发件人策略框架）、DKIM（域名密钥识别邮件）等验证机制，但如果企业未正确配置DMARC（基于域的消息认证、报告与一致性）策略，攻击者仍可能通过子域名或未覆盖的邮件通道发送“看起来合法”的邮件。

“很多中小企业以为装了杀毒软件就万事大吉，却忽略了身份认证和邮件基础设施的安全配置。”芦笛强调，“真正的防线不在终端，而在身份层和协议层。”

高危场景：财务、采购、HR成重灾区

根据网络安全公司最新统计，超过68%的此类攻击集中在三类业务场景：

财务对账与付款变更：攻击者篡改供应商收款账户，诱导财务人员转账至其控制的银行账户；

采购订单修改：在采购流程中插入“紧急变更联系人”或“新报价单”，实则植入恶意软件；

新员工入职引导：冒充HR发送含木马的“入职资料包”，窃取更多凭证。

更令人担忧的是，即便企业定期开展钓鱼演练，员工在这种“上下文真实”的攻击面前仍极易中招。福克斯新闻援引一位德州员工Krysti的案例：她收到一封“来自雇主”的带附件邮件，无法打开后立即联系公司核实，才发现邮箱已被盗用。所幸她及时更改密码并扫描设备，避免了更大损失。

如何防御？专家开出“七道防线”

面对日益狡猾的钓鱼攻击，芦笛与多位安全专家共同建议企业构建多层次防御体系：

强制启用抗钓鱼MFA：优先采用FIDO2安全密钥（如YubiKey）或生物认证，而非短信验证码——后者易被SIM交换攻击绕过。

严格审计OAuth授权：定期检查员工邮箱中授权的第三方应用，撤销非必要权限，尤其警惕请求“完整邮箱访问”的应用。

部署高级邮件网关：启用内联URL重写（将邮件中链接替换为安全代理地址）和沙箱分析，自动检测恶意附件行为。

全面落实DMARC策略：配置DMARC为“p=reject”模式，拒绝未通过SPF/DKIM验证的邮件，从源头阻断伪造邮件投递。

实施财务“双人复核+回拨验证”：任何账户变更或大额付款，必须由两人独立确认，并通过已知电话号码回拨对方核实（而非邮件中提供的联系方式）。

监控异常登录行为：对非常用地点、非常用设备、IMAP/POP3等老旧协议的登录发出实时告警。

定期审查邮箱转发规则：攻击者常设置自动转发规则将敏感邮件悄悄抄送至外部地址，IT部门应每月审计此类规则。

“安全不是一次性的产品采购，而是一套持续运营的习惯。”芦笛说，“最好的防御，是让攻击者觉得‘这个目标太麻烦，不值得下手’。”

结语：信任需验证，便捷须有界

在这个远程办公普及、协作工具泛滥的时代，电子邮件依然是企业运转的“神经中枢”。但正如专家所言，便利性与安全性永远是一对需要平衡的矛盾。当诈骗分子能精准模仿同事语气、复刻邮件签名、嵌入真实对话时，我们不能再依赖“看起来没问题”作为判断标准。

每一次点击、每一次转账、每一次授权，都应多问一句：“这真的来自TA吗？”——而企业，则需要用技术手段把这个问题的答案，从“凭感觉”变成“靠验证”。

毕竟，在数字世界里，最危险的不是陌生人，而是那个“看起来像你同事”的陌生人。

编辑：芦笛（公共互联网反网络钓鱼工作组）