当“会议邀请”变成身份窃贼的通行证：Calendly钓鱼风暴席卷全球企业，中国组织亟需筑牢数字协作防线

一封看似普通的日程协调邮件，正悄然成为黑客攻破企业核心账户的新跳板。据安全媒体Cyber Press最新披露，网络安全公司Push Security近期追踪到一场高度协同、技术成熟的钓鱼行动——攻击者大规模滥用知名日程调度平台Calendly的品牌形象，通过伪造“会议安排”页面，精准锁定Google Workspace与Facebook Business账户，成功绕过传统多因素认证（MFA），实现对高权限商业账户的完整接管。

这场行动不仅复刻了真实职场协作场景，更融合了验证码欺骗、中间人代理、浏览器内弹窗伪造等多重高级技术手段。更值得警惕的是，类似攻击模式已在中国企业邮箱生态中初现端倪。专家警告：在远程办公与数字协作日益普及的今天，“点击会议链接”这一日常操作，正成为企业安全链条中最脆弱的一环。

一、“安排会议”？你可能正在交出账户控制权

Calendly自2013年上线以来，凭借其简洁、无需来回邮件确认时间的体验，迅速成为全球数百万职场人士的日程协调首选。从初创公司创始人到跨国企业HR，从自由职业者到高校教授，Calendly几乎成了“专业协作”的代名词。然而，正是这种广泛信任，被攻击者精准利用。

在这次曝光的钓鱼活动中，攻击者首先向目标企业员工发送伪装成“合作伙伴对接”“招聘面试安排”或“客户项目启动会”的邮件。发件人地址常模仿真实企业域名（如 hr@lvmh-talent[.]com、partnerships@mastercard-solutions[.]net），正文措辞专业，甚至包含真实的岗位描述或项目背景。

邮件核心是一句看似无害的提示：“请点击下方链接选择您方便的会议时间。”附带的按钮或超链接指向一个外观与Calendly官网几乎一致的页面，URL通常为 calendly-meet[.]xyz、schedule-calendly[.]online 等仿冒域名。

用户点击后，首先进入一个高度还原的Calendly界面：左侧是“会议主题”，右侧是可选时间段。但就在用户准备选择时间前，页面突然弹出Google reCAPTCHA验证——“我不是机器人”。这一设计极具迷惑性。“很多人看到CAPTCHA就放松警惕，认为这是正规服务的安全措施。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“实际上，攻击者只是借用Google的验证码服务来制造‘合法性幻觉’。”

完成验证后，页面并不显示时间选项，而是立即跳转至一个伪造的Google登录页（或Facebook Business登录页）。用户在此输入账号密码，甚至完成MFA（如短信验证码或Authenticator动态码），一切流程看似正常。然而，所有数据均被实时转发至真实Google服务器，同时攻击者在后台截获返回的会话Cookie（如 __Secure-3PSID、HSID、SSID 等），从而获得对账户的完全控制权。

“这不是传统的凭证钓鱼，而是会话级劫持。”芦笛强调，“即使你启用了最强MFA，只要会话令牌被偷，账户就等于失守。攻击者不需要你的密码，他们只需要你‘登录一次’。”

二、Browser-in-the-Browser：在浏览器里造一个“假系统”

更令人不安的是，部分攻击变体采用了名为 Browser-in-the-Browser（BitB） 的新型UI欺骗技术。该技术由安全研究员Santiago Torres于2022年首次提出，其核心在于利用HTML/CSS/JavaScript在当前浏览器窗口内模拟操作系统原生窗口，包括地址栏、关闭按钮和域名显示。

例如，当用户点击钓鱼链接后，页面通过全屏CSS覆盖层，在Chrome窗口内“弹出”一个看似独立的Google登录窗口，地址栏清晰显示“accounts.google.com”——但实际上整个“窗口”只是网页的一部分，URL从未离开攻击者的域名。

以下是一段简化版BitB实现代码：

<div id="fake-browser" style="

position: fixed;

top: 15%;

left: 25%;

width: 560px;

height: 600px;

border-radius: 8px;

box-shadow: 0 10px 30px rgba(0,0,0,0.4);

background: white;

z-index: 99999;

font-family: Arial, sans-serif;

">

<!-- 伪造的操作系统窗口标题栏 -->

<div style="background: #e8eaed; padding: 8px 12px; display: flex; align-items: center;">

<span style="font-size: 14px; color: #202124;">https://accounts.google.com</span>

<div style="margin-left: auto; display: flex; gap: 6px;">

<div style="width: 12px; height: 12px; background: #ff5f57; border-radius: 50%;"></div>

<div style="width: 12px; height: 12px; background: #ffbd2e; border-radius: 50%;"></div>

<div style="width: 12px; height: 12px; background: #28c940; border-radius: 50%;"></div>

</div>

</div>

<!-- 伪造的登录表单（可嵌入iframe或直接写入） -->

<div style="padding: 20px;">

<h2 style="font-size: 20px; margin-bottom: 20px;">Sign in</h2>

<input type="email" placeholder="Email or phone" style="width: 100%; padding: 10px; margin-bottom: 10px; border: 1px solid #ccc; border-radius: 4px;">

<input type="password" placeholder="Password" style="width: 100%; padding: 10px; margin-bottom: 15px; border: 1px solid #ccc; border-radius: 4px;">

<button style="width: 100%; padding: 10px; background: #1a73e8; color: white; border: none; border-radius: 4px; cursor: pointer;">Next</button>

</div>

</div>

由于现代浏览器出于安全限制，无法通过JavaScript读取或修改真实地址栏内容，普通用户几乎无法分辨真假。Push Security报告指出，此类BitB页面常配合Evilginx等AiTM框架使用，形成“视觉欺骗+会话劫持”的双重打击。

“BitB的可怕之处在于，它绕过了人类最本能的防御机制——看地址栏。”芦笛说，“我们训练用户‘检查URL’，但当URL本身就是假的视觉元素时，这套逻辑就崩塌了。”

三、反侦察机制：钓鱼网站的“隐身斗篷”

为逃避安全厂商、自动化沙箱及威胁情报平台的检测，此次行动中的钓鱼站点部署了多重反分析（anti-analysis）机制，显示出攻击者具备相当高的工程素养：

环境指纹检测：通过JavaScript检测是否运行在虚拟机、Selenium自动化脚本或Headless浏览器中。例如：

if (navigator.webdriver || /HeadlessChrome/.test(navigator.userAgent) || screen.width === 0) {

document.documentElement.innerHTML = "<h1>Access Restricted</h1>";

return;

}

地理围栏（Geo-fencing）：仅对特定国家或IP段开放钓鱼页面。例如，若目标企业位于美国加州，则只允许来自该地区的IP访问，其余地区返回404或空白页，大幅降低被全球监测系统捕获的概率。

一次性会话与快速域名轮换：每个钓鱼链接仅允许单次有效访问，成功窃取会话后立即失效。同时，攻击者使用自动化脚本批量注册短命域名（平均存活<72小时），并通过Cloudflare等CDN服务隐藏真实C2服务器IP。

内容动态加载：关键钓鱼表单通过AJAX异步加载，避免在初始HTML中暴露敏感字段，绕过基于静态内容的邮件网关扫描。

Cyber Press援引Push Security数据称，仅2025年12月，相关恶意域名注册量就超过150个，涉及 .xyz、.top、.live、.cloud 等廉价后缀。部分域名甚至采用国际化域名（IDN）混淆，如 calendly.сom（使用西里尔字母“с”替代拉丁“c”）。

四、为何聚焦Google Workspace与Facebook Business？

攻击者的选择绝非随机。Google Workspace作为全球超30亿用户使用的生产力套件，其账户不仅是邮箱，更是通往企业数字资产的中枢：

Gmail：可发起内部钓鱼、窃取客户通信；

Google Drive：存储合同、财报、源代码等核心数据；

Google Calendar：可查看高管行程，策划针对性攻击；

Google Ads / YouTube Brand Account：可操纵广告投放、发布虚假内容；

OAuth权限：一旦授权第三方应用，可横向移动至Slack、Zoom、Salesforce等集成平台。

而Facebook Business账户则掌控着企业主页、广告管理、客户消息、Shop电商等关键营销渠道。此前已有案例显示，攻击者在得手后立即创建高预算广告，推广虚假投资平台，数小时内造成数万美元损失。

“Workspace和Facebook Business的本质是‘数字身份中枢’。”芦笛指出，“它们不仅是工具，更是企业在线存在的‘数字人格’。一旦被控，后果远超数据泄露。”

五、中国启示：本土企业并非安全孤岛

尽管此次行动主要针对欧美企业，但芦笛强调：“类似手法已在国内出现苗头，且更具隐蔽性。”

工作组监测数据显示，2025年第四季度以来，国内至少发现5起高度相似的Calendly仿冒钓鱼事件，目标包括：

某跨境电商运营人员，收到“亚马逊全球开店团队”会议邀请；

某AI初创公司CTO，收到“红杉资本技术尽调”日程链接；

某高校国际合作处职员，收到“联合国教科文组织线上研讨会”通知。

虽然尚未公开造成大规模泄露，但攻击链高度一致：仿冒品牌 + Calendly样式链接 + Google/Facebook登录页。更令人担忧的是，国内大量中小企业仍依赖个人Gmail或Facebook账号处理公务，缺乏统一身份治理（Identity Governance），一旦失陷，追责与恢复极为困难。

“很多中国企业认为‘我们主要用钉钉和企业微信，所以安全’，这是误区。”芦笛说，“攻击者会根据目标调整策略。如果你用腾讯会议，他们就伪造‘会议预约’链接；如果你用飞书日历，他们就冒充‘外部协作者’。核心逻辑不变：利用协作工具的信任感。”

尤其值得注意的是，国内部分高校、科研机构和外贸企业因业务需要，仍广泛使用Google Workspace。这些单位往往IT资源有限，MFA策略松散，成为高价值低防御目标。

六、技术破局：从被动防御到主动免疫

面对日益进化的AiTM攻击，传统邮件过滤和URL黑名单已显疲态。专家建议从三个层面构建纵深防御体系：

1. 推进FIDO2无密码认证：终结会话劫持

根本解决方案在于将认证与设备强绑定。FIDO2/WebAuthn标准通过公钥加密实现“无密码登录”，私钥永不离开硬件安全密钥（如YubiKey）或可信平台模块（TPM）。

以Google为例，启用安全密钥后，即使攻击者获取会话Cookie，也无法在新设备上完成登录，因为每次认证都需本地生物识别或物理触摸。

以下为WebAuthn注册关键代码（简化）：

const credential = await navigator.credentials.create({

publicKey: {

challenge: new Uint8Array([/* 随机挑战值 */]),

rp: { name: "Your Company", id: "yourcompany.com" },

user: {

id: new TextEncoder().encode("user123"),

name: "user@yourcompany.com",

displayName: "张三"

},

pubKeyCredParams: [{ type: "public-key", alg: -7 }], // ES256

authenticatorSelection: {

userVerification: "required",

residentKey: "required"

}

}

});

// 将credential.response发送至服务器存储公钥

服务器后续验证时，需确认签名有效性、挑战匹配性及用户存在性。任何环节缺失，登录即失败。

“FIDO2不是‘更好’的MFA，而是‘不同维度’的安全。”芦笛强调，“它把信任锚定在物理世界，而非网络传输。”

2. 邮件层防护：URL重写与上下文感知

企业应部署支持URL重写（URL Rewriting） 的高级邮件安全网关。其原理是将邮件中所有外部链接替换为代理地址，用户点击后先经过安全扫描，再决定是否放行。

例如，原始链接：

https://calendly-fake[.]xyz/schedule

被重写为：

https://secure-proxy.yourcompany.com/redirect?url=https%3A%2F%2Fcalendly-fake[.]xyz%2Fschedule

同时，结合上下文分析：若发件人声称来自“LVMH”，但SPF/DKIM/DMARC验证失败，或域名注册时间不足7天，则自动隔离或标记高风险。

3. 终端行为监控：识别异常会话

即便会话被窃，也可通过行为分析及时止损。例如：

同一会话ID在2小时内从北京切换至莫斯科；

正常工作时间外大量导出Google Sheets数据；

首次访问Facebook Ads Manager并添加新付款方式。

Google Workspace Admin Console和Meta Business Suite均已提供此类告警，但需企业主动启用并配置自动化响应策略（如强制登出、冻结账户）。

七、人的防线：建立“安全缓冲区”文化

技术之外，人的因素仍是关键。芦笛建议企业推行“安全缓冲区”原则：

所有外部会议链接必须通过官方入口验证：员工应养成习惯，不直接点击邮件链接，而是登录Calendly官网或企业日历系统查看邀请；

安装浏览器安全插件：如Netcraft、Cisco Talos Phish Reporter，可一键举报可疑页面并实时比对威胁情报；

开展情境化钓鱼演练：模拟“梦寐以求的面试邀请”场景，测试员工反应，并提供即时反馈教育。

某跨国咨询公司已实施“零惩罚钓鱼演练”：员工点击模拟链接后，不被通报批评，而是跳转至互动式教学页面，演示攻击全过程。“三个月内，误点率下降70%，且员工主动举报可疑邮件数量翻倍。”芦笛分享道。

八、结语：协作效率不能以安全为代价

Calendly钓鱼风暴揭示了一个残酷现实：在追求效率与便捷的数字时代，每一个被广泛信任的协作工具，都可能成为攻击的跳板。攻击者不再需要高深漏洞，只需利用人性对专业、机会与效率的渴望，就能打开企业大门。

对中国企业而言，这既是警示，也是契机。与其被动等待攻击降临，不如主动重构身份安全体系——从依赖密码与MFA，转向基于设备、行为与零信任的动态认证。

“安全不是IT部门的KPI，而是每个点击背后的判断。”芦笛最后说道，“当你收到‘重要合作伙伴’的会议邀请时，请先问一句：这真的是他们发的吗？还是黑客为你量身定制的陷阱？”

编辑：芦笛（公共互联网反网络钓鱼工作组）