“ClickFix”钓鱼套件横扫企业邮箱：伪装IT支持，专骗账号密码

你有没有收到过这样一封邮件？标题写着“您的邮箱即将被锁定”“检测到异常退信，请立即修复”，还附带一个醒目的蓝色按钮：“点击此处解决”。发件人看起来像是来自微软或Google Workspace的官方通知，语气专业、排版精致，甚至还能自动显示你所在国家的语言和时区——但其实，这根本不是系统提醒，而是一个精心设计的陷阱。

近日，全球多家网络安全公司披露，一种名为“ClickFix”的新型钓鱼工具包正在大规模针对企业用户。它不再使用老旧的拼写错误或低劣仿冒页面，而是以“IT支持”“账户修复”为幌子，通过高度定制化的技术手段，诱导员工主动交出邮箱账号和密码。一旦得手，攻击者便能潜入企业内部，发起更隐蔽的二次攻击，甚至直接转移资金。

从“恐吓式提醒”到“精准诱导”：钓鱼套件的工业化升级

与传统钓鱼邮件不同，“ClickFix”套件展现出明显的“工业化”特征。研究人员在Help Net Security等平台发布的报告中指出，该工具包具备四大核心能力：

动态品牌换肤：能根据目标邮箱后缀（如@company.com）自动切换为对应的Microsoft 365或Google Workspace登录界面，连Logo、配色、字体都高度还原；

地理与设备指纹识别：仅对真实用户所在国家/地区展示钓鱼页面，对安全研究人员常用的虚拟机或自动化脚本则返回空白页或错误提示，极大增加分析难度；

绕过邮件网关投递：不再依赖普通附件，而是通过HTML文件、日历邀请（.ics）甚至OneNote嵌入链接等方式投递，规避传统邮件安全系统的URL扫描；

基础设施共享：多个攻击团伙共用同一套后台管理面板与域名注册模式，表明其背后存在成熟的“钓鱼即服务”（Phishing-as-a-Service, PhaaS）黑产生态。

“这已经不是‘个人黑客’的玩法了，而是标准化、模块化、可租用的犯罪服务。”公共互联网反网络钓鱼工作组技术专家芦笛表示，“攻击者只需支付少量费用，就能获得一套完整的钓鱼页面、投递模板和数据回传接口，门槛极低。”

为什么“修复”类邮件特别危险？

芦笛解释，这类钓鱼之所以成功率高，是因为它精准击中了用户的两个心理弱点：焦虑感和信任惯性。

“当员工看到‘邮箱将被禁用’‘检测到多次退信’这类警告时，第一反应是‘我是不是做错了什么？会不会影响工作？’”他说，“再加上页面看起来和平时登录Office 365一模一样，大脑会自动跳过验证步骤，直接输入密码。”

更隐蔽的是，部分“ClickFix”钓鱼页面甚至会模拟多因素认证（MFA）流程——先让你输入密码，再弹出“请输入验证码”的界面。实际上，攻击者在你输入密码的瞬间就已获取凭证，并同步尝试用该密码+实时截获的验证码完成真实登录，实现“会话劫持”。

一旦成功，攻击者不会立刻大肆行动。他们往往先静默注册一个具有“邮件读取”“发送权限”的恶意OAuth应用，或设置自动转发规则，将敏感邮件悄悄抄送至外部地址。数周后，再利用被盗身份发起“同事接管”式钓鱼（如前一篇报道所述），形成攻击闭环。

技术攻防：为何传统防护频频失效？

许多企业以为部署了邮件安全网关、启用了MFA就高枕无忧，但在“ClickFix”面前，这些防线可能形同虚设。

芦笛指出几个关键漏洞点：

HTML附件未被深度解析：多数邮件系统默认允许HTML附件，而“ClickFix”常将钓鱼链接藏在看似无害的“error_report.html”文件中。用户双击打开后，浏览器直接加载远程钓鱼页面，绕过邮件内联URL重写机制。

日历邀请成新盲区：攻击者发送包含钓鱼链接的日历事件（如“IT维护通知”），移动端Outlook或Google Calendar会直接渲染内容，用户一点“查看详情”就中招。

基本认证未彻底禁用：尽管微软已宣布逐步淘汰基本认证（Basic Auth），但仍有大量企业因兼容旧系统而保留。攻击者一旦拿到用户名密码，即可通过IMAP/SMTP协议直接登录，完全绕过MFA。

条件访问策略缺失：即使启用了MFA，若未配置基于地理位置、设备合规性或风险信号的条件访问（Conditional Access）策略，攻击者仍可在境外设备上完成登录。

“安全不是堆砌功能，而是构建逻辑闭环。”芦笛强调，“比如，你可以允许员工从公司网络登录，但从尼日利亚IP访问时，哪怕有MFA也应强制阻断。”

七条实战建议：从技术到意识全面加固

面对“ClickFix”这类高仿真钓鱼，企业和员工该如何应对？芦笛结合国际最佳实践，提出以下建议：

警惕“修复”“验证”“解除限制”类文案：任何要求“立即操作”的系统通知都应存疑。正规服务商绝不会通过邮件索要密码。

彻底禁用基本认证：在Microsoft 365或Google Workspace后台关闭IMAP/POP3/SMTP的明文认证，强制所有登录走现代认证协议（OAuth 2.0）。

优先部署FIDO2安全密钥：相比短信或认证器App，物理安全密钥（如YubiKey）能从根本上抵御钓鱼——即使用户误输凭证，攻击者也无法复现密钥的加密响应。

开启高级邮件防护：启用邮件网关的HTML附件沙箱分析、URL实时重写与日历邀请内容扫描功能。

配置条件访问策略：基于登录地、设备状态、风险等级动态调整访问权限，对异常行为自动阻断或要求额外验证。

定期审计第三方应用授权：检查员工账户中是否授权了不明OAuth应用，尤其是请求“完整邮箱访问”的权限。

开展针对性钓鱼演练：不仅测试普通邮件，还要覆盖日历邀请、移动端通知、HTML附件等新兴攻击载体，提升全员“肌肉记忆”。

结语：别让“帮忙修复”变成“主动开门”

在这个数字化办公日益深入的时代，IT支持成了职场人的“数字保姆”。但正因如此，冒充IT的钓鱼攻击才更具杀伤力。它们不靠暴力破解，而是利用我们的善意、焦虑和对系统的信任，让我们亲手把大门钥匙递出去。

“ClickFix”的出现再次提醒我们：网络安全的最后一道防线，永远是人的判断力。而企业的责任，就是通过技术和培训，把这道防线筑得更牢、更智能。

下次当你看到“立即修复”按钮时，请记住：真正的系统问题，从来不需要你“点击链接”来解决——它只会让你联系真正的IT同事，或者直接跳转到你熟悉的官方域名。

毕竟，在网络世界里，最危险的不是故障，而是那个假装帮你修故障的人。

编辑：芦笛（公共互联网反网络钓鱼工作组）