高管們收到"SharePoint文檔"郵件，掃碼后47秒賬戶被盜

全球500強企業的CFO們最近收到一封郵件，發件人顯示是董事會秘書，主題是"Q3財報-僅限高管查閱"。郵件里有個二維碼，掃完47秒后，他們的微軟賬戶出現在越南某臺服務器上。

這是安全公司Abnormal最新披露的VENOM釣魚攻擊。攻擊者不再廣撒網，而是像獵頭挖人一樣，精準鎖定目標高管的姓名、職位、甚至近期參加的會議。整個攻擊鏈條被封裝成一個從未公開過的釣魚工具包，帶授權驗證、令牌管理、戰役面板—— phishing（網絡釣魚）已經SaaS化了。

工具包的"產品經理思維"

Abnormal的研究人員拆解VENOM后發現，它的設計邏輯很像一款正經的企業軟件。有許可證激活機制，防止買家轉賣；有結構化的令牌存儲， stolen session（被盜會話）像庫存一樣被分類管理；還有完整的 campaign management（戰役管理）界面，攻擊者可以像看銷售漏斗一樣追蹤"轉化率"。

這個工具包至今未出現在任何公開威脅情報庫，暗網論壇也沒有流通記錄。Abnormal判斷它通過"邀請制"分發，買家需要被審核資質——黑產也在搞私域運營。

攻擊者選擇SharePoint作為偽裝主題，是因為企業高管確實每天收這類通知。郵件正文通常寫著"您已被授予查看權限"，附帶的二維碼指向偽造的微軟登錄頁。頁面會實時抓取目標公司的真實Logo和配色，甚至預填受害者的郵箱地址，降低操作摩擦。

二維碼的構造尤其精細。普通釣魚郵件直接插入圖片，容易被郵件安全網關識別。VENOM用Unicode方塊字符從零繪制二維碼，對安全系統來說，這只是一堆文字。

2FA不是護身符

傳統認知里，開啟雙因素認證（2FA）就能擋住大部分釣魚。VENOM的設計直接針對這個心理盲區。

偽造的登錄頁會正常彈出2FA輸入框。受害者輸入短信驗證碼后，攻擊者的后臺實時收到這個碼，并立即用它完成真實的微軟賬戶登錄。整個劫持過程在驗證碼過期前完成，受害者看到的只是"登錄成功"或一個無關緊要的跳轉頁面。

Abnormal監測到的一次攻擊中，某科技公司CFO在收到郵件后3分鐘內完成掃碼、輸密碼、填驗證碼。第47秒，攻擊者已獲得該賬戶的完整會話令牌，可以繞過所有后續驗證直接訪問郵箱、OneDrive、Teams聊天記錄。

這種"實時中間人"手法不新，但VENOM把它做成了流水線。工具包內置的 session hijacking（會話劫持）模塊會自動提取Cookie，分類存儲到不同"項目"下，方便下游買家按權限等級轉賣或利用。

為什么高管成了"大客戶"

攻擊者的目標選擇邏輯很清晰：高管賬戶的ROI（投資回報率）遠高于普通員工。

一個CFO的郵箱里可能有未公開的并購談判、財報草稿、董事會決議。Teams聊天記錄里可能有CEO隨口說的戰略調整。這些信息的變現路徑多樣：提前建倉股票、勒索公司、賣給競爭對手、或者用來制作更逼真的二次釣魚。

Abnormal發現，VENOM運營者會花數周研究目標。他們購買商業數據庫獲取高管履歷，監控LinkedIn動態，甚至分析公司新聞稿里的措辭習慣。郵件里的"董事會秘書"簽名，可能和上周財報電話會議上的真實簽名一模一樣。

這種精準度讓傳統郵件過濾規則失效。郵件來自被劫持的真實供應商賬戶，內容沒有拼寫錯誤，鏈接指向剛注冊的高仿域名（如micros0ft-sharepoint.com），SSL證書齊全。

更棘手的是，高管們通常有"特權心態"——IT安全政策是管員工的，我是決策者，我可以例外。某次事件響應中，安全團隊發現受害CFO連續三個月忽略強制密碼重置提醒，理由是"太忙了"。

防御方的被動局面

企業安全團隊面對VENOM這類攻擊，現有工具鏈存在結構性盲區。

郵件安全網關依賴特征檢測：發件人信譽、鏈接黑名單、附件哈希。但VENOM的每封郵件都是"手工定制"，域名剛注冊、二維碼是文字拼的、沒有附件。Abnormal的測試顯示，主流網關對這類郵件的檢出率低于15%。

終端檢測（EDR）理論上能發現異常登錄，但高管常用多臺設備、頻繁出差、VPN跳轉，基線很難建立。某案例中，攻擊者從越南IP登錄后，立即觸發"我出差了"的自動回復——這個細節讓安全運營中心誤判為正常行為。

安全意識培訓的效果也有限。模擬釣魚測試通常用"中獎通知""快遞異常"等低級誘餌，高管們輕松識破后形成虛假安全感。真正的VENOM郵件看起來比培訓用的假郵件更真實。

Abnormal建議的緩解措施包括：為高管賬戶強制啟用FIDO2硬件密鑰（無法被實時釣魚竊取）、限制敏感郵箱的異地登錄、對SharePoint通知啟用二次確認。但這些措施都涉及"給老板添麻煩"，推行阻力極大。

黑產的"產品迭代"速度

VENOM的出現反映了一個更宏觀的趨勢：網絡攻擊的工業化程度在加速。

五年前的釣魚工具是GitHub上的開源腳本，需要攻擊者自己租服務器、配數據庫、寫前端。現在的VENOM提供一站式解決方案，甚至考慮到了"客戶成功"——工具包內置A/B測試功能，攻擊者可以對比不同郵件主題的開信率。

這種專業化分工讓攻擊門檻驟降。技術能力一般的"運營者"購買VENOM授權后，只需專注做"用戶研究"：挖高管信息、寫定制化話術。基礎設施、反檢測、會話管理都由工具包解決。

Abnormal注意到，VENOM的更新頻率約為每兩周一次。某次更新專門優化了移動端體驗——因為高管們 increasingly（越來越多地）在手機上處理郵件。另一次更新增加了對微軟Authenticator推送通知的模擬，受害者點擊"批準"即可被劫持，連驗證碼都不用輸。

安全研究的滯后性讓防御始終慢半拍。VENOM至少活躍了8個月才被Abnormal捕獲樣本，期間已有多少企業受害、數據流向何處，目前無從得知。

微軟在回應TechRadar Pro詢問時表示，已更新Defender for Office 365的檢測規則，建議用戶啟用"首次聯系安全提示"功能——當收到來自外部的新發件人郵件時，系統會顯示警告橫幅。但該功能默認關閉，且高管們常抱怨"影響效率"要求豁免。

某受害企業的CISO在事件復盤會上說了一句話，被Abnormal記錄在報告中：「我們防住了99%的攻擊，但對手只需要1%的成功率。」這句話現在寫進了VENOM運營者的宣傳材料里，作為產品效果的背書。

你的公司給高管開安全培訓會嗎？還是默認"他們太忙了，不用參加"？