欧盟官方平台遭滥用，新型钓鱼攻击潜入用户收件箱

近日，一个令人警惕的网络安全事件引发广泛关注：欧盟官方支持的在线问卷平台EUSurvey，竟被网络犯罪分子“借壳”用于实施精准钓鱼攻击。这一事件再次提醒公众——即便是看似权威、来自政府机构的链接，也未必绝对安全。

据国际网络安全机构KnowBe4威胁实验室披露，自2025年5月起，已有多个恶意账户利用EUSurvey平台创建虚假调查问卷，并通过该平台官方邮箱（[email protected]）向特定目标发送钓鱼邮件。这些邮件伪装成正规的政策调研或数据收集通知，极具迷惑性。

“这次攻击最危险的地方在于它的‘合法外衣’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“EUSurvey本身是欧盟为公共机构和非欧盟组织提供的一项合法服务，域名信誉高、邮件认证完整，这让传统邮件安全网关很难识别异常。”

据了解，攻击者注册了EUSurvey账户后，将恶意链接嵌入问卷通知中。更狡猾的是，他们使用了“多态性超链接”技术——即同一个显示链接在每次加载时会动态变化，从而绕过基于固定特征码的防御系统。用户点击后，会被重定向至伪造的登录页面，页面设计与真实机构网站高度相似，诱导用户输入账号密码等敏感信息。

“这就像是骗子拿着政府的信纸写了一封假通知。”芦笛形象地解释，“普通人看到发件人是europa.eu这样的官方域名，第一反应往往是信任。再加上邮件内容语气温和、格式规范，警惕性自然下降。”

此类攻击属于典型的社会工程学手段，核心并非技术漏洞，而是利用人性弱点。KnowBe4数据显示，尽管此次攻击规模不大，但点击率远高于普通钓鱼邮件，部分目标机构的员工甚至在未核实的情况下直接提交了内部系统凭证。

芦笛指出，这类攻击之所以能成功，关键在于“信任链”的滥用。“SPF、DKIM、DMARC这些邮件验证协议，只能确认邮件确实来自EUSurvey服务器，无法判断内容是否被恶意利用。平台本身没有被黑，但它的功能被‘合法地’误用了。”

那么，普通用户和企业该如何防范？芦笛给出了三点建议：

第一，保持“零信任”态度。即使是来自官方域名的邮件，也要多问一句：“我是否在等待这份问卷？是否有其他渠道可以验证？”不要仅凭发件人地址就放松警惕。

第二，警惕“即点即输”类操作。凡是邮件中包含“立即填写”“限时提交”等催促性语言，或要求跳转至登录页面的链接，务必手动输入官网地址进行核实，切勿直接点击。

第三，企业应加强第三方平台风险评估。芦笛强调：“很多单位只关注自家系统的安全，却忽略了像问卷平台、云文档、协作工具等‘合法外延’。这些平台一旦被滥用，危害同样巨大。”

目前，EUSurvey平台方已对异常账户展开清理，并加强了新用户注册审核机制。网络安全专家呼吁，公共服务平台在提供便利的同时，也需建立更完善的行为监测与异常预警系统，防止“便民工具”沦为“犯罪跳板”。

随着网络攻击手段日益隐蔽，芦笛提醒：“未来的钓鱼战，拼的不再是技术高低，而是认知对抗。用户的安全意识，才是最后一道防线。”

编辑：芦笛（公共互联网反网络钓鱼工作组）