文章总结： 文档揭露了一种利用Zoom合法基础设施的新型电话导向攻击TOAD。攻击者通过注册账户并将显示名称设为诈骗信息，触发系统发送带验证码的正规邮件以绕过安全网关。文章强调传统过滤器难以识别此类攻击，建议使用ProphetAI分析内容意图以有效防御，从而降低经济损失并提升调查效率。 综合评分： 68 文章分类： 社会工程学,威胁情报,应急响应,软文广告

揭露隐藏在合法基础设施中的新型 TOAD 攻击

原创

prophet prophet

暗镜

2026年2月1日 08:20 北京

在许多攻击场景中，“利用现有资源”已成为威胁行为者的首选策略。这一次，攻击者利用现有的“良性”组件进行网络钓鱼活动。通过利用PayPal和Zoom等可信服务的声誉，攻击者可以绕过将这些域名列入白名单的传统安全电子邮件网关（SEG）。

最近，Prophet AI 调查了一起网络钓鱼警报，结果发现它与这种策略的一个高度复杂的变体有关：一种利用 Zoom 自身身份验证基础设施的电话导向攻击 (TOAD) 活动。

这项调查不仅突显了现代攻击者的聪明才智，也突显了人工智能驱动的分析的必要性，这种分析超越了已验证的标头，以了解其中的意图。

攻击手段：将“显示名称”武器化

攻击向量先知人工智能这种攻击手法看似简单，实则危险。与伪造域名的普通钓鱼邮件不同，这种攻击会生成一封看似来自 Zoom 官方的合法邮件。

以下是攻击者采用的机制：

1. 创建账户：攻击者使用其控制的电子邮件地址注册一个新的 Zoom 账户。

2. 恶意代码注入：他们不使用真实姓名，而是将账户的“显示名称”设置为一条虚假的紧急信息。在本例中，信息内容为：

   “尊敬的客户，您的PayPal账户将被自动扣除989.95美元。如果您认为这不是您本人操作，请立即致电PayPal：+1-805-400-XXXX”。

3. 触发与发送：攻击者将自己的电子邮件帐户配置为自动转发邮件给受害者。然后，他们尝试登录 Zoom 帐户，从而触发Zoom 发送的标准一次性密码 (OTP)电子邮件。

结果：受害者收到一封转发邮件。由于该邮件来自 Zoom 的官方基础设施，因此通过了标准的身份验证检查（SPF/DKIM）。受害者打开邮件后，看到的是 Zoom 的模板内容：“尊敬的客户，您的 PayPal 账户将被自动扣款……”

这种方法会创建一个“已验证”的木马程序。从技术上讲，这封邮件是安全的——它不包含恶意链接或恶意软件——但邮件内容本身却是一个社会工程陷阱，旨在诱使用户拨打虚假的客服电话。

先知人工智能调查

传统过滤器可能会将来自 zoom.us 的“安全”电子邮件或带有有效标头的转发邮件识别为安全邮件，而 Prophet AI 则会分析内容的上下文意图。

Prophet AI 在处理原始电子邮件时，尽管邮件来源合法，但仍立即将其标记出来。

Prophet AI 在此案例中对 11 个数据源运行了 138 个查询，而这一切仅仅用了 5 分钟！

为什么这很重要

这种攻击方式与在以下情况下看到的混淆技术类似：近期活动其中有效载荷就隐藏在可信服务的合法字段中。

这里真正的危险在于信任的丧失。用户习惯于识别合法发件人。当他们看到一封看似来自 Zoom（或由合法来源转发）的邮件时，就会放松警惕。攻击者正是利用这种“光环效应”来绕过审查。

通过识别发件人（Zoom）和内容（PayPal 紧急财务信息）之间的差异，Prophet AI 成功地将陷阱识别为真正的攻击，从而避免了经济损失。

保持警惕，不断改进您的网络钓鱼调查方法

随着攻击者不断利用我们日常使用的工具的漏洞，恶意电子邮件的定义也必须随之改变。仅仅验证邮件的发送者已经远远不够，我们还必须验证邮件的内容。

此类案例所需的分析远超一级分析师通常使用的静态操作手册。这是一个典型的案例，可能会让初级分析师感到困惑，需要上报至二级支持。虽然许多人工智能安全运营中心 (AI SOC) 产品专注于自动化典型的一级警报分类，但 Prophet AI 的功能更进一步，不仅可以节省一级分析师处理典型任务的时间，还能减少对成本更高的二级和三级支持资源的占用。

此类攻击的复杂性日益增加，已报告的网络钓鱼和电子邮件警报需要进行复杂的调查，而仅靠人工方式难以高效完成。Prophet AI 具备机器级的规模和速度，同时还能进行全面彻底的分析。部署 Prophet AI 进行网络钓鱼调查，可以轻松提升调查结果，同时控制成本，并将平均修复时间 (MTTR) 缩短至与当今高速威胁相匹配的水平。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 prophet prophet《揭露隐藏在合法基础设施中的新型 TOAD 攻击》