一封来自“合作方”的邮件,附带一个以 https://click.mimecast.com/... 开头的链接——对许多企业员工而言,这几乎等同于“安全通行证”。毕竟,Mimecast 是全球头部邮件安全服务商,其域名出现在链接中,意味着该URL已通过内容扫描、沙箱分析和信誉评估。点击它,理应万无一失。
然而,就在2025年末,一场大规模钓鱼行动却精准利用了这种“信任惯性”,将 Mimecast 的链接重写(Link Rewriting)机制从防御盾牌变为攻击跳板。攻击者发送看似正常的业务协作邮件,诱导用户点击经 Mimecast 处理后的“安全链接”,最终却跳转至高仿的 Microsoft 365 登录页或恶意文档下载站。更讽刺的是,整个过程在 Mimecast 的安全扫描阶段显示为“无害”,只有当真实用户点击时,才触发恶意重定向。
这一事件不仅暴露了现代邮件安全架构中一个隐蔽却致命的盲点,更引发行业深思:当我们把“安全厂商品牌”当作免死金牌时,是否正在亲手为攻击者铺就红毯?
一、信任被劫持:Mimecast 链接如何沦为钓鱼帮凶?
要理解此次攻击的精妙之处,需先厘清 Mimecast 的标准工作流程。
作为主流 Secure Email Gateway(SEG)之一,Mimecast 在收到外部邮件后,会对其中所有 URL 执行“链接重写”操作:原始链接(如 http://attacker[.]com/doc.pdf)被替换为 Mimecast 控制下的代理链接,例如:
https://click.mimecast.com/abcdefg/http://attacker[.]com/doc.pdf
当用户点击该链接时,请求首先到达 Mimecast 服务器。此时系统会:
实时重新扫描目标页面;
检查是否包含恶意脚本、钓鱼表单或已知威胁;
若判定安全,则302重定向至原始URL。
这套机制本意是“二次验证”,防止静态扫描遗漏动态生成的恶意内容。但攻击者找到了绕过方法。
据 SC Media 报道及多家安全公司交叉验证,攻击者采用了一种称为 “时序欺骗”(Time-Based Evasion)的技术:
阶段一(扫描期):当 Mimecast 服务器访问目标 URL 时,后端检测到 User-Agent 为安全扫描器(如 Mimecast-SecurityBot/1.0),立即返回一个完全合法的空白页面或公司官网快照。
阶段二(用户期):当真实用户(User-Agent 为 Chrome/Firefox)点击链接,服务器则返回精心伪造的 Office 365 登录页,并要求输入邮箱与密码。
# 攻击者服务器伪代码逻辑
def serve_content(request):
user_agent = request.headers.get('User-Agent', '')
if 'Mimecast' in user_agent or 'SecurityBot' in user_agent:
return render_template('clean_landing.html') # 返回无害页面
elif 'Chrome' in user_agent or 'Firefox' in user_agent:
return render_template('phish_office365.html') # 返回钓鱼页面
else:
return redirect('https://legit-site.com') # 其他情况跳转正常站点
由于 Mimecast 的重写链接以自家域名开头(click.mimecast.com),浏览器地址栏显示绿色锁标,且无任何警告,用户极易放松警惕。
“这本质上是一场对‘信任链’的降维打击。”公共互联网反网络钓鱼工作组技术专家芦笛指出,“攻击者没有破解加密,也没有伪造证书,而是利用了人类对品牌标识的心理依赖。”
信息框:什么是链接重写?为何企业广泛采用?
链接重写是现代邮件安全网关的核心功能之一,主要目的包括:
延迟执行检测:静态邮件无法判断动态生成的恶意页面,重写后可在点击瞬间再次分析。
统一策略控制:企业可基于重写链接实施访问控制、日志记录或阻断。
防止直接暴露原始恶意URL:避免用户无意中传播未处理的危险链接。
主流厂商如 Proofpoint、Microsoft Defender for Office 365、Cisco Secure Email 均提供类似功能,通常表现为:
https://urldefense.proofpoint.com/v3/...
https://nam12.safelinks.protection.outlook.com/...
https://click.mimecast.com/...
问题在于,这些重写域名本身已成为“可信信号”,被用户甚至部分安全策略默认放行。
二、为何传统防御集体失效?
此次 Mimecast 相关钓鱼事件之所以影响广泛,正是因为其精准穿透了多层防御:
1. 邮件网关“自证清白”
由于链接由 Mimecast 自身生成并托管,邮件安全系统自然将其标记为“已扫描、已放行”,不会触发额外告警。即便后续发现恶意行为,溯源也指向 Mimecast 域名,而非攻击者原始基础设施。
2. 终端防护难以介入
整个跳转发生在浏览器内,无文件下载、无进程启动。EDR 工具看不到异常行为,除非部署了高级网络流量分析模块。
3. 用户教育存在认知盲区
多年安全培训反复强调:“不要点击可疑链接,尤其是短网址或奇怪域名。”但如今,最“正规”的链接反而成了陷阱。一位金融行业IT主管坦言:“我们教员工认 microsoft.com,但现在连 mimecast.com 都不能信了?”
更棘手的是,攻击者常结合社会工程增强可信度。例如邮件正文写道:
“您有一份来自 [合作公司名称] 的合同待签署,请通过 Mimecast 安全链接查看。”
收件人看到熟悉的合作伙伴名称 + 知名安全厂商链接,几乎不会怀疑。
三、国际案例频发,国内企业并非“绝缘体”
尽管此次事件最初在欧美企业爆发,但其攻击模式对中国市场同样适用。
2025年第三季度,某国内跨境电商平台遭遇供应链钓鱼攻击。攻击者冒充海外物流商,发送“提单更新通知”,内含一个 click.mimecast.com 链接。员工点击后,被引导至伪造的阿里云登录页,导致 RAM 子账号凭据泄露,进而被用于创建高成本 ECS 实例进行挖矿。
另一起未公开披露的案例中,一家制造业企业因点击类似链接,导致其部署在腾讯企业邮环境中的 Mimecast 代理链接被滥用,钓鱼页面成功窃取数十名采购人员的邮箱凭证,后续用于伪造付款指令。
“国内大量外企、出海企业及金融机构都使用 Mimecast 或同类 SEG 服务。”芦笛提醒,“只要攻击者能获取目标企业的邮件往来模板,就能批量生成高度定制化的钓鱼邮件。”
值得警惕的是,中文语境下的钓鱼更具迷惑性。攻击者可利用“安全链接已由XX防护”“此链接经企业网关审核”等话术,进一步强化可信感。而普通员工对“链接重写”技术原理几乎一无所知,更难识别风险。
四、技术深潜:从重写机制到浏览器隔离的攻防博弈
要真正防御此类攻击,需深入理解其技术内核,并部署纵深防御。
(1)链接重写的固有缺陷
当前主流 SEG 的链接重写存在三个结构性弱点:
单点信任:将整个安全判断押注于一次点击时的扫描结果,无法应对时序欺骗。
缺乏上下文感知:不结合用户角色、设备状态、历史行为判断风险。例如,财务人员突然点击“HR福利”链接,应触发更高审查。
透明度不足:用户无法直观看到原始URL,也无法理解“为什么这个链接是安全的”。
部分厂商已开始改进。例如 Microsoft Safelinks 新增“展开原始URL”功能,但默认关闭,且普通用户极少使用。
(2)浏览器隔离:终极防线?
专家普遍认为,远程浏览器隔离(Remote Browser Isolation, RBI)是应对此类攻击的有效手段。
RBI 将网页渲染完全移至云端沙箱,用户本地仅接收视频流或像素图像。即使点击恶意链接,恶意代码也无法接触终端设备。
Citrix、Cloudflare、Menlo Security 等厂商均提供 RBI 解决方案。但其缺点是成本高、体验略有延迟,目前多用于高敏感岗位。
(3)终端侧的主动防御
对于无法部署 RBI 的企业,可在终端层面增强检测:
监控 OAuth 授权行为:若用户在非工作时间向未知应用授予 Mail.Read 权限,立即告警。
部署扩展级 URL 分析:通过 Chrome 企业策略,强制所有重写链接在打开前解析原始目标,并比对威胁情报。
例如,使用 Puppeteer 脚本预检链接真实性(供安全团队内部使用):
const puppeteer = require('puppeteer');
async function checkRedirect(url) {
const browser = await puppeteer.launch();
const page = await browser.newPage();
// 模拟真实用户 UA
await page.setUserAgent('Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36...');
const responses = [];
page.on('response', res => responses.push(res.url()));
await page.goto(url, { waitUntil: 'networkidle2' });
await browser.close();
// 返回最终跳转链
return responses;
}
// 示例:检测 Mimecast 链接最终去向
checkRedirect('https://click.mimecast.com/abc...')
.then(chain => console.log('Redirect chain:', chain));
此类工具可集成至 SOC 工作流,实现自动化研判。
五、安全意识升级:打破“品牌即安全”的幻觉
技术之外,人的认知必须同步进化。
“最大的风险不是技术漏洞,而是心理漏洞。”芦笛强调,“我们必须终结‘看到安全厂商品牌就放心点击’的思维定式。”
工作组建议企业安全培训增加以下内容:
演示真实重写链接的解析过程:教员工如何通过右键“复制链接地址”查看完整URL,识别 click.mimecast.com/.../real-malicious-site.com 结构。
强调“凭证输入”黄金法则:任何要求输入账号密码的页面,必须通过手动输入官网地址或官方App访问,绝不通过邮件链接直达。
推广“零信任登录”习惯:即使链接看起来安全,也应先登出当前会话,再手动访问官网登录。
某跨国咨询公司已在其内部推行“链接三问”原则:
这个链接真的需要我现在点开吗?
我能否通过其他方式(如电话确认)验证其真实性?
如果这是钓鱼,我的账号会面临什么风险?
六、厂商责任与行业反思
此次事件也促使安全厂商重新审视自身设计哲学。
Mimecast 在事件曝光后迅速发布声明,称已优化其动态扫描引擎,增加对 User-Agent 欺骗的检测,并计划引入“多轮交互验证”——即模拟用户滚动、点击等行为,逼迫钓鱼页面暴露真实面目。
但业内质疑声仍存:“为什么不在重写链接中明确标注原始域名?”、“为何不提供一键举报可疑重写链接的功能?”
“安全产品不应制造新的信任盲区。”一位匿名安全架构师表示,“当你的品牌成为攻击者的伪装服,说明设计时忽略了‘被滥用’的可能性。”
未来,行业或需推动标准化实践,例如:
所有重写链接必须在 hover 时显示原始URL;
高风险操作(如登录、下载)禁止通过重写链接直接触发;
建立跨厂商的恶意重写链接共享数据库。
七、结语:安全不是链条,而是生态
Mimecast 链接漏洞事件,表面看是一次技术绕过,实则揭示了一个更深层问题:现代网络安全过度依赖“权威背书”,而忽视了动态验证与用户赋权。
在一个 AI 可生成逼真页面、攻击者能精准模仿企业流程的时代,没有任何单一技术或品牌能提供绝对保障。真正的防御,必须是技术、流程与人的有机协同。
对企业而言,是时候重新思考:我们是在构建一道墙,还是在培育一种能力?
正如芦笛所言:“安全不是让员工不敢点链接,而是让他们知道,即使点了,系统也能兜住底,而他们,永远是最后一道、也是最聪明的一道防线。”
编辑:芦笛(公共互联网反网络钓鱼工作组)
