警惕“备份通知”变“黑客入口”：新型Veeam主题钓鱼攻击席卷全球

近期，一场以知名数据备份软件Veeam为主题的网络钓鱼活动正在全球范围内悄然蔓延。攻击者伪装成Veeam官方，向企业IT和运维人员发送伪造的“备份失败通知”或“系统更新提醒”邮件，诱导用户点击恶意链接或下载带毒附件。一旦用户中招，其设备可能被植入远程控制木马，导致敏感数据泄露、系统瘫痪，甚至为企业内网安全埋下长期隐患。

此次攻击由网络安全媒体CyberPress率先披露，目前已在北美、欧洲及亚太地区多个行业企业中发现踪迹。与以往泛滥的“发票诈骗”或“快递通知”类钓鱼不同，本次攻击精准锁定技术岗位人员，利用他们对系统告警的高度敏感和快速响应习惯，实施“精准打击”。

“这是一次典型的‘高信任场景’钓鱼攻击，”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“IT人员每天要处理大量系统通知，像‘备份失败’‘磁盘空间不足’这类信息，往往需要立即处理。攻击者正是利用这种‘职业惯性’，让人在匆忙中放松警惕。”

精心伪装：连图标都“原厂出品”

据安全研究人员分析，这些钓鱼邮件在外观上几乎与Veeam官方通知无异。邮件标题多为“Veeam Backup Job Failed”（Veeam备份任务失败）、“Critical: Storage Alert”（紧急：存储告警）等，发件人地址也经过精心伪造，例如使用“support@veeam-security.net”或“noreply@veeam-backup.com”等与官方域名极其相似的地址。

更令人警惕的是，邮件中附带的附件或链接也极具迷惑性。常见形式包括：

伪装成“详细日志文件”的压缩包（.zip或.rar），内含恶意可执行文件；

指向伪造Veeam登录页面的链接，用于窃取账号密码；

嵌入恶意宏的Word或Excel文档，一旦启用宏，便会下载并运行后门程序。

“有些钓鱼页面连Favicon（浏览器标签小图标）都复制得一模一样，”芦笛指出，“普通用户很难一眼识破。再加上邮件内容专业、术语准确，连不少技术老手都可能‘翻车’。”

攻击链条：从一封邮件到整个内网沦陷

这类攻击的危险性不仅在于单台设备被感染，更在于其可能成为攻击者渗透企业内网的“跳板”。

攻击流程通常如下：

投递：攻击者通过购买或窃取的企业邮箱列表，批量发送钓鱼邮件；

诱骗：收件人因职务需要，误以为是真实系统告警，点击附件或链接；

执行：恶意代码在本地设备运行，植入远程访问工具（RAT）或信息窃取程序；

横向移动：攻击者利用被控设备的权限，尝试访问企业内部服务器、数据库或域控系统，扩大攻击范围。

“IT人员的电脑往往拥有较高权限，比如可以访问备份服务器、管理账号、配置网络设备，”芦笛解释道，“一旦他们的设备被控制，攻击者就等于拿到了‘万能钥匙’，后续的破坏可能呈指数级增长。”

2023年曾发生过类似案例：一家欧洲制造企业因一名系统管理员点击了伪造的Veeam邮件，导致其备份系统被加密，攻击者借此勒索数百万美元。此次新一波攻击的手法更为隐蔽，威胁不容小觑。

企业如何“防中招”？专家给出三道防线

面对日益专业化的钓鱼攻击，企业不能再依赖员工的“火眼金睛”。专家建议从技术、流程和意识三方面构建防御体系。

第一道防线：技术过滤升级

企业应部署具备高级威胁检测能力的邮件安全网关，不仅能识别已知恶意域名和附件，还能通过沙箱技术对可疑文件进行动态分析。例如，当系统发现一个名为“backup_log.zip”的附件时，可先在隔离环境中运行，观察其行为是否异常。

“AI驱动的邮件分析系统现在可以识别‘语义异常’，”芦笛介绍，“比如，一封来自‘Veeam’的邮件却要求你‘立即下载并运行’，这在正规通知中几乎不会出现。系统会标记这类高风险邮件，即使它绕过了传统过滤规则。”

第二道防线：流程规范强化

企业应建立软件通知的验证流程。例如：

所有来自“官方”的软件通知，必须通过官方应用或管理平台确认，而非直接点击邮件链接；

关键操作（如系统更新、密码重置）需通过多因素认证（MFA）；

定期审计员工邮箱权限，避免过度授权。

“可以设定一条内部规则：所有‘紧急’系统通知，必须通过企业内部通讯工具（如Teams、钉钉）二次确认，”芦笛建议，“这多花几秒钟，但能避免大麻烦。”

第三道防线：持续安全培训

技术再先进，也抵不过一次误操作。定期开展反钓鱼培训至关重要。企业可组织模拟钓鱼演练，向员工发送测试邮件，观察点击率，并对“中招”人员进行针对性教育。

“培训内容要贴近实际，”芦笛强调，“不要只讲‘不要点陌生链接’，而是展示真实案例，比如这封Veeam邮件哪里可疑？发件人域名差了几个字母？链接指向的网站和官方地址有什么不同？让员工学会‘慢下来，多看一眼’。”

安全无小事：从“备份”到“防备”

Veeam作为全球领先的数据备份与恢复解决方案提供商，其客户遍布各行各业。正因如此，攻击者选择以“Veeam”为幌子，极大提升了钓鱼邮件的可信度。

“讽刺的是，备份软件本是用来防范数据丢失的，现在却成了攻击入口，”芦笛感叹，“这提醒我们，真正的安全不仅是技术问题，更是人和流程的问题。”

目前，Veeam官方尚未就此次钓鱼活动发布正式声明，但已在其社区论坛提醒用户警惕非官方渠道的通知。网络安全机构也呼吁企业尽快排查内部邮箱，更新终端防护策略。

在数字化日益深入的今天，每一封邮件都可能是“数字战场”的前线。而防范钓鱼攻击，不仅需要技术的“盾牌”，更需要每个人的“警惕之心”。

小贴士：如何识别钓鱼邮件？

看发件人：检查邮箱地址是否与官方域名完全一致，警惕拼写错误或奇怪后缀；

看链接：鼠标悬停在链接上，查看底部显示的真实网址；

看附件：不轻易打开不明来源的.exe、.zip、.js等可执行文件；

看语气：官方通知通常不会使用“立即行动”“账户将被关闭”等紧迫措辞；

多核实：不确定时，通过官方渠道或内部同事确认信息真实性。

安全，从一封邮件开始。

编辑：芦笛（公共互联网反网络钓鱼工作组）