“IT支持请求”竟是黑客敲门砖？知名远程工具成钓鱼新“马甲”

当你收到一封看似来自IT部门的邮件，提示“远程支持会话已建立，请点击授权连接”，你会怎么做？多数人会毫不犹豫地点击——毕竟，这是“帮我们修电脑”的人。但如今，这个看似无害的操作，可能正将你的电脑、公司网络乃至个人隐私，直接交到黑客手中。

近日，信息安全媒体《Infosecurity Magazine》披露了一起新型钓鱼攻击活动：攻击者正大规模滥用ConnectWise旗下远程支持品牌（如ScreenConnect、Take Control），通过伪造工单通知、会话邀请等方式，诱导用户主动开启远程连接，进而实施系统控制与数据窃取。这场“披着合法外衣”的攻击，正成为企业安全防线的新挑战。

“合法工具”变“黑客武器”：一次点击，全面失控

与传统钓鱼邮件不同，这类攻击不依赖明显的恶意附件或可疑链接。相反，它巧妙地利用了用户对IT支持流程的信任。

攻击者伪造的邮件通常包含：

ConnectWise品牌的官方Logo、邮件模板和术语；

“您的远程支持会话已启动，请点击此处授权连接”；

伪造的工单编号、技术支持人员姓名，甚至“紧急系统更新”等紧迫理由。

一旦用户点击链接，便会跳转至一个与真实远程支持界面高度相似的页面，诱导其下载并运行一个被篡改的客户端程序。由于该程序模仿的是合法远程工具，许多终端安全软件不会将其标记为恶意软件——用户甚至是在“主动允许”下完成了攻击者的入侵。

“这叫‘信任劫持’。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“攻击者不是在制造恐慌，而是在制造‘正常’。你看到的是你每天都在用的工具，你做的操作也是你平时会做的，但背后控制权已经易主。”

攻击四步走：从授权到“挖地三尺”

一旦远程连接建立，攻击者的行动往往迅速而精准：

获取系统控制权：通过远程桌面直接操控受害者电脑，如同坐在其面前操作。

搜刮敏感数据：立即搜索浏览器保存的密码、密码管理器文件（如Chrome、Edge、Bitwarden）、本地凭证保管（Credential Manager）等，获取大量账号密码。

部署后门与窃取器：安装信息窃取木马（infostealer）或持久化后门，确保即使远程会话结束，也能长期潜伏。

创建隐藏账户：在系统中创建新的管理员账户或计划任务，为后续横向移动或二次入侵铺路。

“最危险的是，整个过程可能只持续几分钟。”芦笛指出，“攻击者目标明确，直奔‘数字金库’，得手后迅速撤离，传统基于文件签名的杀毒软件根本来不及反应。”

为何是ConnectWise？品牌信任成“双刃剑”

ConnectWise是全球领先的IT服务管理（ITSM）和远程支持解决方案提供商，其ScreenConnect、Take Control等工具被成千上万家企业和MSP（托管服务提供商）广泛使用。正因其高普及率和强品牌信任，成为攻击者理想的“伪装对象”。

“攻击者研究过目标企业的IT流程。”芦笛说，“他们知道很多公司用ConnectWise处理工单，员工对这类通知邮件习以为常。一封伪造的‘会话邀请’，比‘恭喜你中奖了’这种邮件可信度高得多。”

此外，这类远程工具通常需要用户“主动授权”连接，这一设计本为安全考虑，却反被利用——用户点击行为被视为“自愿授权”，绕过了许多安全策略的拦截。

传统防御为何失效？“合法流量”成攻击掩护

这场攻击之所以难防，关键在于它全程使用“合法”或“类合法”行为：

邮件内容无恶意域名或拼写错误；

下载的客户端看似正常软件；

远程连接使用加密协议，流量与真实支持会话无异；

用户主动执行操作，不触发行为异常告警。

“传统的防病毒、反钓鱼网关主要靠黑名单和特征匹配。”芦笛解释，“但这次，攻击者用的是白名单里的工具，走的是正常流程，相当于‘穿警服的劫匪’，门卫很难识别。”

如何应对？专家建议：从“信任默认”转向“验证前置”

面对这种“合法工具滥用”攻击，企业和个人必须升级防御思维。芦笛与安全机构提出以下关键措施：

1. 建立远程工具“白名单”与资产清单

企业应明确列出所有允许使用的远程支持工具（如ConnectWise、TeamViewer、AnyDesk等），并禁止其他未授权工具运行。同时，定期审计这些工具的部署情况，防止“影子IT”成为漏洞。

2. 强制“来源验证”弹窗

任何新发起的远程会话，必须弹出验证窗口，要求用户核对：

工单编号是否真实存在；

支持人员是否为内部IT或已知MSP；

连接请求是否在计划内。

“不能让用户‘一键同意’。”芦笛强调，“必须增加一个‘人机核对’环节，哪怕只是多问一句‘是你发起的吗？’”

3. 集中记录与审计

对所有远程会话进行屏幕录像和命令记录，集中存储，便于事后追溯。一旦发现异常行为（如非工作时间连接、访问敏感目录），可快速响应。

4. 邮件链接“统一中转”

企业可建立内部门户，所有远程支持链接必须先跳转至企业安全网关，经验证后再放行，避免用户直接点击外部链接。

5. 将“远程会话遥测”纳入监控

安全团队应实时监控远程工具的使用情况，设置告警规则，如：

非IT部门发起的远程连接；

无关联工单的会话启动；

同一账户短时间内频繁连接。

安全启示：信任，但要验证

这起事件再次提醒我们：在数字世界，“看起来正常”不等于“真的安全”。

攻击者正越来越擅长利用合法服务、品牌信任和用户习惯，制造“低警觉性”攻击场景。从云服务通知到远程支持邀请，任何带有“授权”“连接”“更新”字样的操作，都应保持警惕。

“我们不能因为害怕就不用远程工具。”芦笛总结道，“但必须建立更严格的流程——信任，但要验证；便利，但要可控。安全的本质，就是在便利与风险之间找到平衡。”

对于普通用户，记住三条：

不随便点击邮件中的“远程连接”链接；

任何IT支持请求，先通过电话或内部通讯工具核实；

绝不向陌生人提供电脑控制权。

毕竟，真正的IT支持，永远不会催你“立刻点击授权”。

编辑：芦笛（公共互联网反网络钓鱼工作组）