网络钓鱼仍然是网络安全中最顽固的威胁之一:人类疲惫、分心、信任,容易受到紧迫性和权威的影响,任何意识培训都无法完全克服。
安全社区在很大程度上接受了这一现实,并将重点转向自动检测系统,该系统可以在用户看到网络钓鱼威胁之前拦截和阻止它们。
但攻击者也适应了这里。現代網路釣魚活動越來越多地採用偽裝技術,向掃描器提供良性內容,同時向真正的受害者提供惡意頁面,或者只是完全阻止自動檢索。因此,我们为弥补人类的易失而建立的自动防御正在系统地蒙蔽。
遵循URL基础设施
东京都立大学的研究人员创建了PhishLumos,该系统将重定向和无法访问、欺骗性和空白页面视为可疑,并完全远离内容分析。
相反,它转向URL的底层基础设施:它解析到的IP地址、它与其他域共享的网络连接、它使用的SSL证书以及历史扫描记录中留下的痕迹。
这使它能够重建更广泛的网络钓鱼活动和用于网络钓鱼活动的其他URL,并创建一个图表,描述活动如何组织,哪些资产连接,以及这些部分之间的关系。
该图表最终由由专业LLM驱动的代理组成的协调团队使用,来剖析活动并创建经过验证的检测规则。
PhishLumos的两阶段工作流程(来源:IEEE)
现实世界的测试显示了什么
研究人员分享道:“在103个现实世界活动中(6,020个URL),PhishLumos在专家验证前实现了100%的中位数活动覆盖率和192.8小时(8.0天)的检测前期中位数,1000个良性URL的假阳性率为0.1%。”
“在一项为期六个月的野外研究中,从600个具有挑战性的种子URL开始,生成的规则发现了192,407个额外的URL;92.0%后来被多引擎扫描服务中至少一个引擎标记为恶意。”
由于它的工作原理是找到共享相同基础基础设施的URL之间的连接,因此当攻击者避免重复使用时(例如,当他们使用一次性基础设施时),它很难。
在研究人员的现实世界研究中,PhishLumos能够为给定的启动URL的一半以上生成检测规则,其余案例缺乏足够的共享基础设施来工作。
该系统也只与它查询的外部数据源(网络扫描、被动DNS和证书日志)一样好:这些记录中的空白或盲点会限制它映射活动的完整程度。
PhishLumos旨在补充现有的防御,而不是取代它们。对于空空的情况,传统的URL扫描仪和人工分析师仍然是必要的。
“PhishLumos是一个面向分析师的离线工具,用于对少量高优先级种子URL进行分类。它不是为行率检查而设计的,”研究人员最后解释道。
「活動層面的目標與網路釣魚操作的組織方式以及威脅情報在實踐中的消費方式一致。PhishLumos不是按URL返回标签,而是生成可重复使用的缓解工件,直接支持狩猎、阻止、关闭请求和信息共享等工作流程。”
原文链接地址:https://www.helpnetsecurity.com/2026/06/15/phishlumos-phishing-campaign-detection/
