“您的股权激励已到账”？一封伪装成HR通知的OneDrive链接，正瞄准CEO的登录密码

如果你是公司高管，某天收到一封来自“人力资源部”的邮件：“尊敬的张总，您2025年度薪酬调整及股权授予方案已确认，请点击下方OneDrive链接查看详细文件。”

你会点开吗？

大多数人会——尤其是当邮件使用了公司内部信头、精准称呼你的职位、甚至附上了你熟悉的HR签名档。但这一次，那个看似无害的OneDrive共享链接，可能正在将你的整个企业推向风险边缘。

2025年10月，网络安全研究机构发布警告：一种新型高级鱼叉式钓鱼攻击正大规模 targeting（定向攻击）全球企业的C级高管——从CEO、CFO到CTO。攻击者不再广撒网，而是精心策划，利用Microsoft OneDrive作为跳板，通过高度定制化的社会工程手段，窃取高管账户凭证，进而获取企业最核心的战略机密。

这不仅是一次技术入侵，更是一场针对企业“大脑”的精准斩首行动。

不是普通钓鱼，而是“信任链”的层层瓦解

与以往群发式垃圾邮件不同，这类攻击被称为“鱼叉钓鱼”（Spear Phishing），其特点是：高度个性化、场景真实、路径隐蔽。

攻击流程环环相扣：

精准投递：攻击者事先收集目标公司的组织架构、高管姓名、邮箱格式和内部沟通风格，伪造出几乎无法分辨真伪的邮件；

诱饵托管于OneDrive：邮件中不带附件或可疑链接，只有一个微软官方域名下的OneDrive共享地址，极大降低安全系统警觉；

页面诱导重新登录：当你打开文档时，页面会提示“为保护敏感信息，请先重新验证身份”，随即跳转至一个外观与微软登录页完全一致的伪造界面；

实时凭证中继：你输入账号密码后，这些信息被立即转发至真实微软服务器进行验证，并同步捕获MFA推送确认码，实现“中间人攻击”；

持久化控制：一旦得手，攻击者注册恶意OAuth应用，长期读取邮件、文件、日历，甚至设置规则静默转发董事会纪要、并购谈判进展等关键内容。

“这个手法最危险的地方在于，它用的是微软自己的服务来做坏事。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“OneDrive本身是合法平台，链接也来自microsoft.com子域，防火墙很难拦截。用户看到‘自家云盘’，戒心自然放松。”

为何专挑高管下手？因为“含金量”太高

相比普通员工，高管账户的价值呈指数级上升：

可访问战略规划、融资计划、并购意向书等未公开信息，一旦泄露可能影响股价或谈判地位；

能发起大额资金调拨指令，伪装成CEO要求财务转账，极易引发商业邮件欺诈（BEC）；

拥有对外部合作伙伴的沟通权威，可被用来误导合作方、篡改合同条款；

且往往拥有更高权限的应用授权和数据访问范围。

“攻下一个高管邮箱，相当于拿到了进入公司决策中枢的万能钥匙。”芦笛说，“而且他们通常事务繁忙，处理邮件速度快，更容易忽略细节。”

更令人担忧的是，部分样本显示，攻击者采用了“延迟载荷触发”技术——即只有在检测到真人访问、鼠标移动或停留一定时间后，才弹出登录重定向页面。这种设计专门为了绕过自动化沙箱扫描，确保只有真正高管点击查看时才会激活攻击。

攻击背后的技术内核：什么是OAuth滥用与凭证中继？

很多人以为，只要设置了双重验证（MFA），账户就安全了。但这一轮攻击恰恰说明：传统防护在高级社工面前依然脆弱。

▶ 凭证中继（Credential Relay）

攻击者搭建了一个“代理网关”，当你在假页面输入账号密码时，系统立刻拿着这些凭据去登录真正的微软接口。如果此时你的手机弹出“是否允许登录？”的MFA确认请求，你以为是正常操作，点了“批准”——殊不知你是在帮黑客完成认证。

▶ OAuth权限滥用

登录成功后，攻击者不会立刻改密码或发异常邮件引起怀疑，而是悄悄注册一个名为“文档同步助手”之类的第三方应用，并授予它“读取邮件、访问OneDrive、管理日历”等API权限。即使事后发现并修改密码，这个应用仍能继续运作，形成“后门”。

“就像你租房子给了中介一把钥匙，后来换锁了，但他手里那把还没还。”芦笛比喻道，“很多企业根本不知道哪些应用已经被授权。”

如何守住“决策层防线”？专家开出五剂“防护药方”

面对如此高阶的攻击，芦笛强调：“不能只靠员工自觉，必须建立‘强化身份护栏’体系。”

1. 为高管部署FIDO2物理密钥

推荐使用YubiKey等硬件密钥作为主要MFA方式。它基于公私钥加密机制，无需输入验证码，能从根本上抵御中间人劫持。“这是目前唯一能有效阻断凭证中继的方法。”芦笛表示。

2. 实施“设备+地理+行为”多维验证

通过Azure AD条件访问策略，限制高管账户只能从公司配发的合规设备、特定区域（如中国境内）登录。对非工作时间、境外IP的访问请求自动阻断或强制二次审批。

3. 高风险链接用隔离浏览器打开

建议高管在访问任何包含登录提示的共享链接时，使用基于云的隔离浏览器（如Microsoft Defender for Office 365中的Safe Links功能），所有交互在远程沙箱中完成，本地设备不受影响。

4. 定期审计OAuth授权与邮件规则

IT部门应每月检查高管账户中已授权的应用列表，删除未知来源项；同时排查是否存在隐蔽的邮件自动转发规则，防止数据悄然外泄。

5. 建立财务指令“双通道验证”机制

对于涉及资金调动的邮件指令，必须通过电话、视频会议或多级审批系统交叉确认，杜绝仅凭一封邮件执行付款。

此外，企业还应制定分级DLP（数据防泄漏）策略，监控“并购”“估值”“融资”等关键词的大规模外发行为，并对高管开展专属的社会工程情境培训，模拟真实钓鱼场景提升识别能力。

写给高管的一句话提醒

下次收到“薪酬调整”“股权授予”“紧急会议材料”等敏感通知时，请多问一句：

“这是我预期中的邮件吗？”

“为什么需要我重新登录才能看？”

“这个链接真的指向微软官方域名吗？”

哪怕只是多花十秒钟核对网址、致电HR确认，都可能避免一场百万级损失。

这场围绕OneDrive展开的数字暗战再次证明：最高级别的威胁，往往藏在最熟悉的工具里。而真正的安全，不只是技术堆叠，更是意识、流程与权限管理的综合博弈。

毕竟，保护好企业的“方向盘”，比事后修补漏洞更重要。

新闻来源：

原始报道详见 Cybersecurity News 2025年10月文章《New Phishing Attack via OneDrive Targeting C-Level Employees》

技术支持：Microsoft Threat Intelligence, Proofpoint Labs

采访专家：芦笛，公共互联网反网络钓鱼工作组技术专家

编辑：芦笛（公共互联网反网络钓鱼工作组）