黑客玩“障眼法”！用安全扫描报告当“护身符”，钓鱼链接秒变“可信网站”？

你收到一封邮件，里面附带一个链接，标题写着：“这是您文件的安全扫描报告，未发现任何威胁。”点开后，页面显示来自知名安全平台VirusTotal的绿色对勾和“Clean”标识，你放心点击“原始链接”查看文件，却不知不觉进入了一个伪造的银行登录页——你的账号和密码，已被悄悄记录。

这不是科幻剧情，而是正在真实发生的新型网络钓鱼攻击。据国际安全媒体《CSO Online》最新报道，网络犯罪分子正利用公共URL扫描服务，为钓鱼链接“洗白”，巧妙绕过企业防火墙和员工的心理防线，让恶意链接披上“安全认证”的外衣，成功率大幅提升。

高级“伪装术”：黑客用“体检报告”骗过安全系统

这种攻击手法被称为“钓鱼链接中转包装”（Phishing Link Wrapping via Scanning Services）。其核心逻辑是：利用安全平台的公信力，为恶意行为背书。

具体操作流程如下：

准备钓鱼网站：攻击者先搭建一个伪造的登录页面，比如模仿公司OA系统、邮箱或银行网站。

提交“自检”：他们将这个钓鱼链接提交到VirusTotal、Urlscan.io等公共安全扫描平台。这些平台会自动分析链接，并生成一个公开的扫描报告页面。

发送“安全报告”：攻击者不直接发送钓鱼链接，而是将这个“扫描报告页面”的链接作为“安全证明”发送给受害者。邮件内容可能写着：“文件已通过安全扫描，请放心查看”或“检测结果正常，点击查看详情”。

诱导点击“原始链接”：扫描报告页面通常会列出被检测的URL，并提供一个“访问原始链接”或“Open URL”的按钮。受害者看到平台显示“安全”，便放心点击，最终跳转至真实的钓鱼网站。

“这就像小偷先去派出所给赃物开个‘无犯罪记录证明’，然后拿着证明去卖赃物，你说买家能不信吗？”公共互联网反网络钓鱼工作组技术专家芦笛用一个生动的比喻解释道，“攻击者利用了人们对权威第三方的信任，把‘检测过程’本身变成了攻击工具。”

为何传统防御“失灵”？

这种手法之所以能成功，是因为它精准击中了当前网络安全防御体系的两个“软肋”：

第一，技术层面：绕过静态检测。

企业通常部署邮件安全网关或终端防护软件，它们会拦截已知的恶意域名或IP。但VirusTotal、Urlscan.io等平台是公认的“安全服务”，其域名本身是合法且受信任的。安全系统很难将一个“安全扫描报告”的链接标记为恶意。

“传统检测主要看‘目的地’，而这次攻击的‘第一跳’是安全的。”芦笛指出，“等用户点击报告里的‘原始链接’跳转到钓鱼网站时，已经超出了邮件防护的监控范围。”

第二，心理层面：利用“权威效应”。

人类天生倾向于信任权威机构。当看到VirusTotal这样的专业安全平台出具“无风险”报告时，绝大多数人会放松警惕，认为“既然专业机构都说安全，那肯定没问题”。攻击者正是利用这种心理盲区，让受害者主动完成最关键的“点击”动作。

攻防升级：从“看链接”到“看行为”

面对这种“高智商”钓鱼手法，企业和个人该如何应对？芦笛提出了三方面的建议：

1. 企业需升级监控策略：关注“跳转链”与“上下文”

监控重定向行为：安全系统不应只看邮件中的直接链接，还需分析链接是否可能触发多级跳转，尤其是跳转至知名安全平台后又引导至外部URL的行为。

建立“可疑行为”规则：例如，自动标记那些“链接指向VirusTotal/Urlscan，但原始URL为未知或新注册域名”的邮件，进行二次人工审核。

限制内部访问外部扫描服务：在企业网络策略中，可考虑限制员工随意访问公共URL扫描平台，减少被利用的风险。

2. 员工培训：打破“报告迷信”，培养“怀疑精神”

明确告知风险：让员工知道，任何要求你点击“原始链接”或“访问目标URL”的扫描报告，都可能是钓鱼陷阱。

养成“手动输入”习惯：如果收到文件或系统通知，应通过已知的官方渠道（如手动输入公司OA地址）登录查看，而非点击邮件中的任何链接。

警惕“过度证明”：正常情况下，公司内部系统不会通过第三方安全报告来证明链接安全。如果一封邮件大费周章地附上“安全检测证明”，反而要提高警惕。

3. 技术防范：善用浏览器扩展与沙箱

安装具备反钓鱼功能的浏览器扩展（如MetaMask、Kromtech等），部分工具已开始识别此类“中转包装”攻击。

对于高风险操作，使用沙箱环境（Sandbox）打开可疑链接，观察其真实跳转路径，避免在真实设备上暴露。

安全行业的反思：信任机制如何不被滥用？

此次事件也引发了安全行业的深刻反思。VirusTotal等平台本意是为安全研究人员提供威胁情报，但如今却被攻击者反向利用。

芦笛认为，平台方也应承担一定责任：“可以考虑对频繁提交恶意链接的IP或账户进行限制，或在扫描报告中增加更醒目的警告，比如‘此报告可能被用于钓鱼，请勿直接点击原始链接’。”

同时，他也强调，没有一劳永逸的安全方案。“黑客总是在寻找规则的漏洞。今天是利用扫描服务，明天可能是利用AI生成的‘可信内容’。安全防御必须是动态的、持续进化的。”

结语：在数字世界，保持“合理怀疑”是最佳防护

这场“用安全骗安全”的攻防战提醒我们，在高度互联的数字时代，信任本身就是最脆弱的环节。攻击者不再只是技术高手，更是心理学家。

“最安全的用户，不是最懂技术的，而是最懂得‘怀疑’的。”芦笛最后说，“当你看到一个‘完美无瑕’的安全证明时，不妨多问一句：为什么它需要被证明？真正的安全，往往不需要自证清白。”

在Web3、AI、自动化办公日益普及的今天，提升全民数字素养，培养“批判性思维”和“安全直觉”，或许才是抵御层出不穷网络钓鱼的终极防线。

（完）

名词科普：

URL扫描服务：如VirusTotal、Urlscan.io等平台，可对网址进行多引擎病毒和恶意行为检测，常用于安全分析。

重定向（Redirect）：指一个链接跳转到另一个链接的过程。攻击者常利用多级重定向隐藏真实恶意地址。

沙箱（Sandbox）：一种隔离环境，用于安全地运行和分析可疑程序或链接，防止对真实系统造成影响。

编辑：芦笛（公共互联网反网络钓鱼工作组）