当“面试邀请”变成钓鱼入口：Calendly成新式身份窃取跳板，75家全球品牌被冒充敲响中国企业安全警钟

一场看似寻常的“求职季”背后，正悄然上演一场高精度、大规模的身份劫持行动。根据SC Media援引Push Security最新研究报告，攻击者正系统性地滥用知名日程调度平台Calendly的品牌信任，通过伪造来自MasterCard、Uber、迪士尼、联合利华等75家以上全球顶级企业的“招聘会议邀请”，诱导用户点击内嵌链接，最终落入精心构建的中间人（Adversary-in-the-Middle, AiTM）钓鱼陷阱——目标直指Google Workspace与Facebook Business账户的完整控制权。

这场行动不仅技术成熟、伪装逼真，更展现出对现代职场心理与数字协作习惯的深度洞察。而更值得警惕的是，类似手法已在中国企业邮箱与招聘生态中初现端倪。专家警告：若不及时升级认证体系与员工安全意识，国内企业极可能成为下一批受害者。

一、“安排面试”？小心你点开的是黑客的后门

Calendly，这个被全球数百万职场人用于协调会议时间的SaaS工具，因其简洁、专业、无需注册即可查看空闲时段的特性，早已成为招聘流程中的“标配”。正因如此，它也成为攻击者眼中绝佳的“信任载体”。

在这次曝光的钓鱼活动中，攻击者精心伪造了以“HR@mastercard.com”“recruiting@uber-careers.net”等为发件人的邮件，主题多为《您的面试已安排》《请确认与迪士尼创意团队的会议时间》等。邮件正文通常包含一段看似真实的岗位描述，并附上一个“点击此处选择您的可用时间”的Calendly风格按钮。

但链接并非指向 calendly.com，而是形似 calendly-interview[.]com、meet-calendly[.]net 或 calendly-verify[.]xyz 的仿冒域名。用户点击后，首先进入一个高度还原Calendly界面的页面，甚至包含Google reCAPTCHA验证码——这一设计极具迷惑性。“很多人看到CAPTCHA就以为是正规服务，因为‘机器人验证’常被视为安全标志。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“殊不知，攻击者只是把reCAPTCHA当作‘信任增强器’来用。”

完成CAPTCHA后，页面立即跳转至另一个伪造的Google登录页（或Facebook Business登录页）。用户在此输入账号密码，甚至完成MFA（如短信验证码或Authenticator动态码），一切看似正常。然而，所有输入数据均被实时转发至真实Google服务器，同时攻击者在后台截获返回的会话Cookie（如 __Secure-3PAPISID、SIDCC 等），从而实现无密码接管账户。

“这不是简单的凭证钓鱼，而是会话级劫持。”芦笛强调，“即使你启用了最强MFA，只要会话令牌被偷，账户就等于失守。”

二、Browser-in-the-Browser：浏览器里的“幻觉”攻击

更令人不安的是，部分攻击变体采用了名为 Browser-in-the-Browser（BitB） 的新型UI欺骗技术。该技术由安全研究员Santiago Torres于2022年首次提出，其核心原理是利用HTML/CSS/JavaScript在当前浏览器窗口内模拟操作系统原生窗口，包括地址栏、关闭按钮和域名显示。

例如，当用户点击钓鱼链接后，页面通过 window.open() 或全屏CSS覆盖层，在Chrome窗口内“弹出”一个看似独立的Google登录窗口，地址栏显示“accounts.google.com”——但实际上整个“窗口”只是网页的一部分，URL从未离开攻击者的域名。

以下是一段简化版BitB实现代码：

<div id="fake-browser" style="

position: fixed;

top: 10%;

left: 20%;

width: 600px;

height: 500px;

border: 1px solid #ccc;

box-shadow: 0 4px 12px rgba(0,0,0,0.3);

background: white;

z-index: 9999;

">

<!-- 伪造的地址栏 -->

<div style="background: #f1f3f4; padding: 6px 12px; font-size: 13px;">

https://accounts.google.com

</div>

<!-- 伪造的登录表单 -->

<iframe src="phish-google-login.html" style="width:100%; height:460px; border:none;"></iframe>

</div>

由于现代浏览器出于安全限制，无法通过JS读取真实地址栏内容，普通用户几乎无法分辨真假。Push Security报告指出，此类BitB页面常配合Evilginx使用，形成“视觉欺骗+会话劫持”的双重打击。

“BitB的可怕之处在于，它绕过了人类最本能的防御机制——看地址栏。”芦笛说，“我们训练用户‘检查URL’，但当URL本身就是假的视觉元素时，这套逻辑就崩塌了。”

三、反分析机制：钓鱼网站的“隐身衣”

为逃避安全厂商与自动化沙箱的检测，此次行动中的钓鱼站点部署了多重反分析（anti-analysis）机制，显示出攻击者具备相当高的工程能力：

环境检测：通过JavaScript检测是否运行在虚拟机、Selenium或Headless Chrome中。例如：

if (navigator.webdriver || /HeadlessChrome/.test(navigator.userAgent)) {

document.body.innerHTML = "Access Denied";

throw new Error("Bot detected");

}

地理围栏：仅对特定国家IP开放钓鱼页面，其余地区返回空白页或404，降低被全球威胁情报平台收录的概率。

一次性会话：每个链接仅允许单次访问，成功窃取会话后立即失效，防止重复分析。

域名快速轮换：攻击者使用自动化脚本批量注册短命域名（平均存活<48小时），并通过DDoS防护服务（如Cloudflare）隐藏真实C2服务器。

Infoblox与Push Security联合追踪发现，仅2025年第四季度，相关恶意域名注册量就超过200个，涉及 .xyz、.top、.online 等廉价后缀。部分域名甚至模仿Calendly官方子域结构，如 app.calendly-secure[.]com，进一步混淆视听。

四、为何是Google Workspace和Facebook Business？

攻击者的选择绝非偶然。Google Workspace（原G Suite）作为全球超30亿用户使用的办公套件，其账户不仅包含Gmail、Drive、Calendar，还关联Google Ads、YouTube Brand Account等商业资产。一旦被控，攻击者可：

窃取企业邮件与敏感文档；

发起内部钓鱼扩大攻击面；

操纵Google Ads账户进行恶意投放（此前已有案例）；

利用OAuth权限横向移动至其他集成应用。

而Facebook Business账户则掌控着企业主页、广告管理、客户消息等核心营销渠道。Push Security曾披露，有攻击者在得手后立即创建虚假广告，推广加密货币骗局，数小时内消耗数千美元广告预算。

“Workspace和Facebook Business的本质是‘数字身份中枢’。”芦笛指出，“它们不仅是邮箱或社交账号，更是通往企业数字资产的万能钥匙。”

五、中国镜像：本土企业是否安全？

尽管此次行动主要针对欧美企业，但芦笛提醒：“类似手法已在国内出现苗头。”

工作组监测数据显示，2025年下半年，国内至少有3起疑似Calendly仿冒钓鱼事件，目标包括：

某跨境电商公司员工，收到“亚马逊招聘合作经理”会议邀请；

某科技初创企业创始人，收到“红杉资本尽调会议”链接；

某高校科研团队，收到“国际期刊编辑部视频答辩”通知。

虽然尚未造成大规模泄露，但攻击链高度一致：仿冒品牌 + Calendly样式链接 + Google/Facebook登录页。更令人担忧的是，国内大量中小企业仍依赖个人Gmail或Facebook账号处理公务，缺乏统一身份治理（Identity Governance），一旦失陷，追责与恢复极为困难。

“很多中国企业认为‘我们不用Gmail，所以安全’，这是误区。”芦笛说，“攻击者会根据目标调整策略。如果你用企业微信或钉钉，他们就伪造腾讯会议或钉钉日历邀请；如果你用阿里云邮箱，他们就冒充阿里云客服。核心逻辑不变：利用协作工具的信任感。”

六、技术破局：从“防链接”到“抗中间人”

面对日益进化的AiTM攻击，传统邮件网关和URL黑名单已力不从心。专家建议从三个层面构建纵深防御：

1. 升级认证协议：FIDO2是终极答案

如前所述，MFA在会话劫持面前失效，根本原因在于认证与会话未绑定。FIDO2/WebAuthn通过公钥加密和设备绑定，从根本上解决此问题。

以Google为例，启用安全密钥（Security Key）后，即使攻击者获取会话Cookie，也无法在新设备上完成登录，因为私钥永不离开硬件。以下为WebAuthn登录流程关键代码：

const assertion = await navigator.credentials.get({

publicKey: {

challenge: Uint8Array.from(window.atob(challenge), c => c.charCodeAt(0)),

allowCredentials: [{ type: "public-key", id: credentialId }],

userVerification: "required"

}

});

// 将assertion.response发送至服务器验证

服务器需验证签名有效性、挑战匹配性及用户存在性。任何环节缺失，登录即失败。

“FIDO2不是‘更好’的MFA，而是‘不同维度’的安全。”芦笛强调，“它把信任锚定在物理设备，而非网络传输。”

2. 邮件层防护：URL重写与上下文感知

企业应部署支持URL重写（URL Rewriting） 的高级邮件安全网关。其原理是将邮件中所有外部链接替换为代理地址，用户点击后先经过安全扫描，再决定是否放行。

例如，原始链接：

https://calendly-fake[.]xyz/schedule

被重写为：

https://mailsec.yourcompany.com/redirect?url=https%3A%2F%2Fcalendly-fake[.]xyz%2Fschedule

同时，结合上下文分析：若发件人声称来自“迪士尼”，但SPF/DKIM/DMARC验证失败，或域名注册时间不足7天，则自动隔离或标记高风险。

3. 终端行为监控：识别异常会话

即便会话被窃，也可通过行为分析及时止损。例如：

同一会话ID在短时间内从美国切换至东欧；

正常工作时间外大量下载Drive文件；

首次访问Ads Manager并修改付款方式。

Google Workspace Admin Console已提供此类告警，但需企业主动启用并配置响应策略。

七、人的防线：别让“机会”变成“陷阱”

技术之外，人的因素仍是关键。芦笛建议企业推行“三不原则”：

不点邮件中的会议链接：所有日程安排应通过官方日历邀请（.ics文件）或直接登录Calendly官网查看；

不信任单一验证信号：CAPTCHA、HTTPS锁图标、页面美观度均不可作为安全依据；

不混用个人与工作账户：严禁用私人Gmail处理公司事务，避免权限扩散。

某跨国咨询公司已实施“钓鱼演练+即时教育”机制：员工点击模拟钓鱼链接后，不被惩罚，而是立即跳转至互动式教学页面，演示攻击全过程。“三个月内，误点率下降70%，且员工主动举报可疑邮件数量翻倍。”芦笛分享道。

八、结语：信任不能外包，安全必须内生

Calendly钓鱼风暴揭示了一个残酷现实：在数字协作时代，每一个被广泛信任的工具，都可能成为攻击的跳板。攻击者不再需要高深漏洞，只需利用人性对效率与机会的渴望，就能打开企业大门。

对中国企业而言，这既是警示，也是契机。与其被动等待攻击降临，不如主动重构身份安全体系——从依赖密码与MFA，转向基于设备、行为与零信任的动态认证。

“安全不是IT部门的事，而是每个点击背后的判断。”芦笛最后说道，“当你收到‘梦寐以求’的面试邀请时，请先问一句：这真的是他们发的吗？”

编辑：芦笛（公共互联网反网络钓鱼工作组）