文章总结： 文档分析了利用GoogleURL重定向实施的钓鱼攻击。攻击者伪造人力资源邮件，诱导点击链接，经由多级跳转最终窃取数据。文章详述了参数传递与合法服务滥用等技术手段，提供了相关域名与哈希值等IOC指标，警示用户需警惕看似合法的跳转链接，并提及已更新相关反钓鱼训练模板。 综合评分： 85 文章分类： 威胁情报,社会工程学,安全意识,数据泄露

【钓鱼预警】来自境外的个人信息窃取攻击

原创

深海捕鱼 深海捕鱼

DeepPhish

2026年1月26日 14:31 广东

DP团队最近在捕获的针对跨国企业的多起钓鱼邮件攻击中，发现攻击者利用了Google URL重定向，此类技术细节如下文。

使用的技战术包括：链接隐藏,发件人伪装,URL重定向,数据窃取,合法服务滥用,心理操纵,信任伪装。

【钓鱼预警】多家知名大厂URL安全跳转被钓鱼佬利用

1、初始投递

新政策修订

尊敬的 [email protected] ：

根据我们公司内部的新政策调整，以下附上员工更新表以及修订后的公司政策副本，该政策将于 2026 年 1 月 26 日生效。请您在下方签名以仔细查看这些变更内容，填写并于 2026 年 1 月 23 日下班前提交该表格。

填写表格

感谢您在这件事上的合作。我们期待您继续给予支持，因为我们正努力改善工作环境，以造福所有员工。

人力资源部门

如有任何关于这些修改的疑问或建议，请发送至我们的邮箱：[email protected]

传到EML分析平台进行分析：

2、点击链接

原始链接: https://www.google.com/url?q=https://raziparfum.ru/assets…

    ↓

raziparfum.ru/assets/images/imxd.php

    ↓

参数传递: ?email=[[-Email-]]  # 尝试捕获邮箱

    ↓

最终目标: → mfastags.com/ii/…

链接属性

• target="_blank"：在新标签页打开，防止用户察觉页面被替换
• rel="noreferrer"：隐藏跳转来源，防止被追踪

动态参数替换

• email=[[-Email-]]是模板变量，可能在真实攻击中替换为用户的真实邮箱

Google跟踪参数

• source=gmail&ust=…&usg=…是模仿Google链接的跟踪参数，让链接看起来”合法”

Base64编码

• c3Y9Z2VuZXJhbCZyPTBvJnVpZD1…是Base64编码，解码后包含用户标识信息

3、相关IOC

大多数平台查询发件人域为未知

然而通过关联可以到追到端倪，曾经有网友在VT上传过钓鱼EML

发件服务器位于美国，为黑客自建，并做了基础的SPF设置

钓鱼链接跳转点解析为俄罗斯IP

Hash：

23d40877f7346d4aeb47aed41f1cdac3547603c43f2d5d1ae5964ea5dac76d36

ce03ee38828f291f2f8f5b6cce3d8bbf7635af0b21fc82c6d1b1e6bc654ca855

最终窃取数据的站点位于美国，为一个看起来很正规的SaaS服务mfastags.com，实际运营者疑似印度方面，大概率是个样子货。

| 类型 | IOC | 描述 | | — | — | — | | 域名 | raziparfum.ru | 攻击链中的初始跳转域名，用于隐藏最终目标。解析至俄罗斯IP。 | | 域名 | wangimaging.com | 发件域。 | | 域名 | mfastags.com | 数据窃取域。 | | 文件哈希 (SHA256) | 23d40877f7346d4aeb47aed41f1cdac3547603c43f2d5d1ae5964ea5dac76d36 | 与此次攻击相关的恶意文件哈希值。 | | 文件哈希 (SHA256) | ce03ee38828f291f2f8f5b6cce3d8bbf7635af0b21fc82c6d1b1e6bc654ca855 | 与此次攻击相关的另一个恶意文件哈希值。 | | 地理位置/IP | 美国 | 钓鱼邮件的发件服务器所在地，为黑客自建。 | | 地理位置/IP | 俄罗斯 | 跳转点域名 raziparfum.ru解析的IP所在地。 | | 地理位置/IP | 美国 | 最终窃取数据的站点服务器所在地，伪装成正规SaaS服务。 | | 运营者背景 | 印度方面（疑似） | 最终站点的实际运营者，被认为是用来混淆视听的“烟雾弹”。 |

#

| 战术（Tactic） | 技术（Technique） | 过程（Procedure） | | — | — | — | | 资源开发 | 获取基础设施：攻击者注册了raziparfum.ru域名，并自建了位于美国的邮件服务器。 | | | 初始访问 | 网络钓鱼：通过发送钓鱼邮件进行初始投递。 | 邮件内容诱导用户点击经过精心伪装的Google跳转链接。 | | 信任欺骗 | 滥用可信赖的Web服务：利用Google的URL跳转服务（www.google.com/url?q=...）作为攻击链的第一环。 | 这使得链接看起来源自可信的Google域名，增加用户点击的可能性。 | | 防御规避 | 隐藏基础设施：采用多级跳转。 | 链接从Google服务跳转到raziparfum.ru，再最终跳转到数据窃取站点，增加追踪难度。 | | 影响 | 数据窃取：攻击的最终目的是窃取用户的敏感信息（如邮箱凭证）。 | 信息被发送到位于美国的最终钓鱼站点。 |

4、总结

虽然Google等大厂在重定向跳转时加入了安全提醒，但依然不能完全避免用户“执意”点击钓鱼链接。

相关模板已经更新到DeepPhish反钓鱼训练平台。

点赞、爱心、星标支持我们，在钓鱼中招前打一针疫苗！

• EML安全分析平台：deepphish.cn/eml

• 反钓鱼训练平台：deepphish.cn/apt

• 官微：Wh0ami1999

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：DeepPhish 深海捕鱼 深海捕鱼《【钓鱼预警】来自境外的个人信息窃取攻击》