​Check Point：企業(yè)如何應(yīng)對來自“合法域名”的釣魚郵件？

Check Point：企業(yè)如何應(yīng)對來自“合法域名”的釣魚郵件？

近期，一起利用云平臺官方能力實施的釣魚攻擊引發(fā)了安全行業(yè)的廣泛關(guān)注。Check Point 研究人員披露，攻擊者濫用 Google Cloud 的應(yīng)用集成功能，向企業(yè)用戶發(fā)送看似完全合法的通知郵件。這些郵件來自 @google.com 官方域名，內(nèi)容偽裝成語音留言提醒、文件訪問或權(quán)限授予請求，與企業(yè)日常辦公場景高度一致。

在短短兩周內(nèi)，攻擊者發(fā)送了數(shù)千封此類釣魚郵件，影響多個行業(yè)。與傳統(tǒng)釣魚攻擊不同的是，這次事件并未偽造域名、也未入侵系統(tǒng)，而是借助合法云服務(wù)能力完成攻擊分發(fā)。

合法等于安全？

從技術(shù)角度看，這次攻擊的關(guān)鍵并不在于“仿冒”，而在于濫用信任機制。這次釣魚攻擊鏈條呈現(xiàn)為多階段流程：用戶首先點擊托管在受信任云服務(wù)上的鏈接，隨后被引導(dǎo)至中間驗證頁面，用以規(guī)避自動化掃描，最終跳轉(zhuǎn)至偽造的登錄頁面，憑證在此階段被竊取。整個過程中，發(fā)件人地址、發(fā)件域名乃至初始鏈接都“看起來完全正�！�。

這意味著，依賴發(fā)件人信譽或白名單的傳統(tǒng)郵件安全模型，正在逐步失效。當(dāng)攻擊混入真實業(yè)務(wù)流程，單點規(guī)則和靜態(tài)判斷已難以及時發(fā)現(xiàn)風(fēng)險。Google 在回應(yīng)中也明確表示，該事件源于對云工作流自動化工具的濫用，而非其基礎(chǔ)設(shè)施被攻破，并已針對相關(guān)行為采取攔截和補救措施。這一回應(yīng)也從側(cè)面印證了一個現(xiàn)實：在云與自動化成為常態(tài)的環(huán)境下，攻擊者無需“突破防線”，而是可以站在合規(guī)能力的邊緣行事。

長期以來，企業(yè)郵件安全隱含著一個前提假設(shè)：可信域名，意味著可信郵件。但隨著企業(yè)對云服務(wù)、自動化通知和協(xié)作平臺的依賴不斷加深，這一假設(shè)正在被現(xiàn)實挑戰(zhàn)。當(dāng)攻擊者能夠利用官方能力發(fā)送“合法郵件”，白名單不再是安全終點，而只是需要進(jìn)一步驗證的起點。如果安全體系仍然將“來源合法”作為主要放行依據(jù)，那么一旦攻擊混入正常業(yè)務(wù)流量，風(fēng)險就會被直接傳遞給終端用戶。

“預(yù)防為先”，保障安全

回到 Google Cloud 釣魚事件本身，可以發(fā)現(xiàn)一個共性特征：攻擊并非從明顯異常開始，而是嵌入到一條看似正常的業(yè)務(wù)流程中。在這種情況下，單點檢測難以奏效，真正有效的安全防護(hù)必須做到在大量看似正常的交互中，能夠識別其中隱藏的潛在風(fēng)險。

這正是 Check Point 業(yè)內(nèi)領(lǐng)先的威脅情報系統(tǒng) ThreatCloud AI 價值所在。ThreatCloud AI 并不局限于某一次點擊或某一封郵件，而是通過整合全球威脅情報、用戶行為模式和 AI 分析結(jié)果，對釣魚攻擊常見的鏈?zhǔn)教卣鬟M(jìn)行關(guān)聯(lián)判斷。一旦全球任何一個端點識別出與該攻擊相關(guān)的惡意特征（如特定的惡意跳轉(zhuǎn)邏輯或誘餌文件指紋），ThreatCloud AI 會在秒級內(nèi)將這一情報同步給全球所有客戶。

Harmony Email：在郵件入口切斷攻擊鏈

在12月上旬，Check Point 憑借 Harmony Email & Collaboration 在Gartner 電子郵件安全魔力象限（Magic Quadrant for Email Security）中被評為領(lǐng)導(dǎo)者。這一最新發(fā)布的權(quán)威認(rèn)可，不僅印證了 Harmony 產(chǎn)品的技術(shù)實力，更標(biāo)志著其“API 級優(yōu)先”和“預(yù)防為先”的防御理念已成為行業(yè)公認(rèn)的黃金標(biāo)準(zhǔn)。

Harmony 之所以能獲此殊榮的關(guān)鍵在于：

1. API 級內(nèi)聯(lián)防御（Inline Protection）： 與傳統(tǒng)網(wǎng)關(guān)（SEG）不同，Harmony 通過 API 直接嵌入云辦公環(huán)境。它能在郵件抵達(dá)用戶收件箱的毫秒間隙進(jìn)行掃描和攔截。即便郵件來自 Google 或 Microsoft 的官方域名，只要包含惡意意圖，就會被 Harmony 拒之門外，徹底消除了用戶“手滑”誤點的風(fēng)險；

2. AI 深度分析： Harmony 的核心 AI 引擎不只看“誰在發(fā)郵件”，更看“郵件在做什么”。針對此次 Google 案例中精密的“多重跳轉(zhuǎn)+假驗證碼”手法，Harmony 能夠穿透偽裝，通過自然語言處理（NLP）分析郵件語調(diào)，并利用計算機視覺識別錯誤的登錄頁面，精準(zhǔn)判定攻擊意圖。

3. 全方位覆蓋： 作為 Gartner 認(rèn)證的領(lǐng)導(dǎo)者，Harmony 的保護(hù)范圍不僅限于郵件，更延伸至 Teams、Slack、Google Drive 等協(xié)作工具，防止攻擊者利用受信用的內(nèi)部協(xié)作平臺進(jìn)行橫向移動。

從這起 Google Cloud 釣魚事件可以看到，攻擊者正在利用企業(yè)最信任的基礎(chǔ)設(shè)施和流程。在這樣的環(huán)境下，盲目信任白名單已難以應(yīng)對日益復(fù)雜的釣魚攻擊。通過以 ThreatCloud AI 為中樞、以 Harmony Email 為代表的預(yù)防型郵件安全體系，在攻擊發(fā)生之前就將風(fēng)險阻斷，正成為更穩(wěn)妥的選擇。當(dāng)“合法”不再等同于“安全”，預(yù)防為先，才是企業(yè)郵件安全真正可靠的答案。