Cofense Intelligence揭示了一种新颖的网络钓鱼技术，该技术使用blob URI创建本地虚假登录页面，绕过电子邮件安全并窃取凭据。

Cofense Intelligence的网络安全研究人员报告了一种新的、日益有效的网络犯罪分子方法，他们正利用这种方法将凭证钓鱼页面直接发送到用户的邮箱收件箱。这种技术于 2022 年中期出现，利用的是“blob URI”（二进制大对象——统一资源标识符）。

需要说明的是，Blob URI是指向互联网浏览器保存在您计算机上的临时数据的地址。这些数据在互联网上具有合法的应用，例如YouTube会将视频数据临时存储在用户的浏览器中以供播放。

Blob URI的一个关键特性是其本地化特性；也就是说，一个浏览器创建的 Blob URI 无法被其他浏览器访问，即使在同一设备上也是如此。这种固有的隐私特性虽然对合法的Web功能有益，但却被威胁行为者利用来达到恶意目的。

根据Cofense Intelligence的分析，由于Blob URI数据不在常规互联网上，检查电子邮件的安全系统无法轻易看到有害的虚假登录页面。

因此，当您收到钓鱼邮件时，链接不会直接跳转到虚假网站。相反，它通常会将您引导至安全程序信任的真实网站，例如微软的OneDrive。之后，您会被引导至攻击者控制的隐藏网页。

然后，这个隐藏页面会使用Blob URI直接在你的浏览器中创建虚假的登录页面。即使这个页面只保存在你的电脑上，它仍然可以窃取你的用户名和密码，并将其发送给黑客。

研究人员指出，这对自动化安全系统，尤其是安全电子邮件网关(SEG)提出了挑战，因为这些系统会分析网站内容以识别网络钓鱼攻击。使用Blob URI进行网络钓鱼攻击的新颖性意味着，基于人工智能的安全模型可能尚未经过充分训练，无法区分合法用途和恶意用途。

缺乏模式识别，加上攻击者使用多次重定向的常见策略，使得自动检测变得复杂，并增加了网络钓鱼电子邮件绕过安全措施的可能性。

Cofense Intelligence观察到多起利用这种Blob URI技术的网络钓鱼活动，其诱饵旨在诱骗用户登录OneDrive等常见服务的虚假版本。这些诱饵包括加密消息通知、访问Intuit税务账户的提示以及来自金融机构的警报。尽管初始借口各不相同，但总体攻击流程保持一致。

研究人员警告称，此类网络钓鱼攻击可能会变得更加普遍，因为它非常容易绕过安全措施。因此，务必谨慎对待电子邮件中的链接，即使它们看起来像是指向真实网站的链接，并且在输入登录信息之前务必仔细检查。如果在网站地址中看到“ blob:http://”或“ blob:https://”，则可能是这种新伎俩的迹象。