一种针对企业员工移动设备的新型网络欺诈攻击正愈演愈烈。攻击者巧妙运用搜索引擎优化(SEO)投毒技术,将伪冒的工资门户网站推至谷歌等搜索引擎结果的显著位置(包括付费的赞助商链接位),诱导员工在虚假登录页面提交凭证,最终将员工工资悉数转入攻击者掌控的账户。据网络安全公司ReliaQuest的报告,此类攻击自2024年底已出现,并在2025年5月针对某制造业客户的攻击中被详细捕获,显示出持续性和广泛的行业威胁。
核心攻击手法:SEO投毒 + 移动端精准钓鱼 + 实时窃取
此次攻击链条设计精密,尤其针对安全防护相对薄弱且用户警惕性可能更低的移动端:
-
SEO投毒与高危“赞助链接”:当员工通过谷歌等搜索引擎查询公司工资门户时,攻击者利用关键词操纵等SEO技术,或直接购买搜索结果页顶部的“赞助链接”(即恶意搜索广告),将其精心伪造的、与官方门户网站外观几乎一致的欺诈性网站置于高位,极易误导用户点击。用户需警惕,即便是付费的搜索结果也可能暗藏风险。
-
移动端专属重定向与钓鱼:用户点击恶意链接后,往往先被导向一个WordPress中转站点。该站点会智能检测访问设备类型,若判断为移动设备,则进一步重定向到一个深度模仿微软官方登录界面的钓鱼页面。攻击者偏好针对移动端,一方面是因为移动设备屏幕小,用户在查阅URL等细节时易疏忽;另一方面,移动设备通常缺乏PC端全面的企业级安全防护和日志记录。
-
WebSocket实时窃证实操:员工在钓鱼页面输入的账户和密码会即刻被发送到攻击者控制的后台。更具威胁的是,攻击者会利用WebSocket技术建立与受害者浏览器的双向通信,并通过Pusher等商业或自建的实时消息推送服务(可能利用其免费或低成本的API接口)接收即时警报。这种“凭证秒到”的机制,赋予攻击者在用户意识到被骗并更改密码之前的宝贵时间窗口,以最快速度登录真实系统并进行恶意操作。
-
工资账户篡改与资金转移:凭借新鲜窃取的有效凭证,攻击者迅速登录真实的员工工资管理系统,修改员工的直接存款银行账户信息,从而将薪水非法转移。
高级规避战术:攻陷家用路由,利用住宅IP隐匿行踪
为逃避侦测和溯源,攻击者采用了多种高级规避手段:
- 基础设施伪装与代理僵尸网络
攻击者利用大量被攻陷的家庭办公路由器(例如ASUS、Pakedge等常见品牌)的IP地址发起恶意登录。这些路由器往往因固件漏洞、弱密码、默认凭证未改或错误配置等原因被轻易控制,并被恶意软件感染后组成代理僵尸网络,供其他网络犯罪分子租用。 - 规避检测与阻碍IOC生成
使用住宅或移动IP地址进行攻击,相较于易被列入黑名单的VPN或数据中心IP,更能模拟普通用户的合法访问行为,有效绕过基于IP信誉和地理位置异常的检测系统。这种做法不仅极大增加了企业安全团队追踪攻击源头、实施IP封禁的难度,更因其针对移动设备且日志记录缺失,使得安全团队难以有效扫描钓鱼站点、提取特征并将其加入威胁情报(IOC)源,从而阻碍了快速响应和缓解工作。
关联威胁观察:钓鱼即服务(PaaS)生态的扩张
此类工资欺诈事件并非孤例,其背后是网络钓鱼攻击工具化、服务化(PaaS/CaaS - 犯罪即服务)的广阔图景:
-
例如, W3LL钓鱼工具包被用于制作假冒Adobe页面窃取Outlook凭证。 -
而名为 CoGUI的新型钓鱼工具包,则针对日本市场,仿冒亚马逊、PayPay等品牌,并采用地理围栏(限制特定区域IP访问)、HTTP头部检测(反机器人和沙箱)和设备指纹识别等高级反侦察技术。 CoGUI
、 Darcula等工具包被指可能同属于一个名为“Smishing Triad”的中国背景PaaS(钓鱼即服务)生态系统。该生态系统还催生了如Panda Shop等短信钓鱼(Smishing)工具包,它们通过Telegram等平台自动化分发服务。这类PaaS/CaaS模式显著降低了网络犯罪的技术门槛,使得攻击工具迭代更快,攻击活动更易规模化,并可能形成集数据窃取、贩卖于一体的地下产业链。
安全防范建议:个人与企业需共同应对
个人层面:
- 谨慎对待搜索结果
访问重要网站(尤其是涉及财务的)时,对搜索引擎结果(包括付费赞助链接和自然排名靠前的结果)务必仔细甄别域名真伪。最佳实践是通过官方认证的渠道、公司内部导航或手动输入已知正确的网址访问。 - 提升移动端安全警觉
在手机、平板等移动设备上进行登录或处理敏感信息时,要格外注意核对网址,不轻易点击来源不明的链接或扫描未知二维码。 - 加固家庭网络
定期修改家庭路由器管理员密码(使用强密码),检查并及时更新路由器固件,关闭不必要的远程管理功能。
企业层面:
- 强化账户安全
强制所有员工为关键业务系统账户启用并正确使用多因素认证(MFA),优先选择抗网络钓鱼的MFA方式(如FIDO2)。 - 持续安全意识教育
定期对员工进行网络钓鱼(包括SEO投毒、移动端钓鱼、二维码钓鱼等)的识别与防范培训,并进行模拟演练。 - 部署纵深防御
采用包括邮件安全网关、端点检测与响应(EDR)、网络流量分析(NTA)在内的多层次安全解决方案,监控异常登录行为和数据外泄企图。 - 关注威胁情报
及时获取和利用最新的威胁情报(IOCs),更新安全策略和检测规则。
网络欺诈手段层出不穷,唯有个人提高警惕、企业加强防护,方能有效抵御这些针对性的财务窃取攻击。
原文始发于微信公众号(技术修道场):紧急预警!黑客操纵谷歌搜索结果,专攻手机端SEO投毒窃取员工工资
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论