摘要：

2025年以来，一种名为“ClickFix”的新型网络钓鱼技术在全球范围内呈现显著增长态势。该攻击模式通过伪造“安全修复”“存储清理”“合规修补”等系统维护类按钮，诱导用户在“问题已识别、仅需授权修复”的心理情境下主动提交身份凭证，有效规避传统安全警示的注意力机制。本文基于公开威胁情报与技术报告，系统分析“ClickFix”攻击的技术实现路径，包括DKIM对齐投递、动态品牌伪装、Base64内嵌图像规避检测、AiTM（Adversary-in-the-Middle）会话劫持等关键技术组件。进一步地，本文从行为心理学视角剖析其利用“损失规避”与“任务完成驱动”等认知偏误的心理操控机制，并指出其目标集中于金融、法律与医疗等高价值PII（个人身份信息）密集型行业。针对该威胁，本文提出包含情境引导迁移、反向代理会话绑定、语言模式检测、情景化用户教育与条件访问控制在内的多层次防御体系。研究表明，“ClickFix”代表了钓鱼攻击从“欺骗性诱导”向“情境性操控”的范式演进，防御策略需从静态内容过滤转向动态行为感知与身份持续验证。

关键词： ClickFix；网络钓鱼；会话劫持；AiTM；多因素认证绕过；行为心理学；网络安全防御

1. 引言

网络钓鱼（Phishing）作为最普遍的网络攻击向量之一，自21世纪初出现以来，其技术形态与社会工程策略持续演进。早期钓鱼攻击主要依赖伪造邮件内容与链接，诱骗用户访问仿冒网站并输入凭证。随着邮件安全网关（Email Security Gateway, ESG）与用户安全意识的提升，传统钓鱼的成功率显著下降，攻击者遂转向更具隐蔽性与针对性的技术路径，如鱼叉式钓鱼（Spear Phishing）、商业邮件欺诈（BEC）及基于AI的深度伪造（Deepfake）语音诈骗。

2025年上半年，一种新型钓鱼技术——“ClickFix”——在全球范围内引发安全机构高度关注。该技术并非简单伪造登录页面，而是通过构建“系统检测到问题—提供一键修复按钮”的交互情境，诱导用户在无明显威胁感知的状态下主动执行高风险操作。与传统钓鱼依赖“紧急性”或“恐吓性”话术不同，“ClickFix”利用用户对系统维护的信任与任务完成的内在驱动力，实现了更高层次的心理操控。

本文旨在系统梳理“ClickFix”攻击的技术架构与行为逻辑，分析其在金融、法律与医疗等关键行业的渗透路径，并基于实证数据提出具备可操作性的防御框架。研究数据主要来源于eSecurityPlanet、CISA及多家威胁情报厂商2025年发布的公开报告，结合网络安全领域已有理论模型，力求构建逻辑闭环的分析体系。

2. “ClickFix”攻击的技术实现机制

“ClickFix”攻击的成功依赖于一套高度协同的技术链条，涵盖邮件投递、内容伪装、用户诱导与凭证捕获四个阶段，其核心目标在于绕过传统安全检测并实现对多因素认证（MFA）的实质性绕过。

2.1 邮件投递与可信性构建

攻击者普遍采用已被攻陷的真实企业域名进行邮件投递，并确保其具备完整的DKIM（DomainKeys Identified Mail）签名对齐。DKIM通过对邮件头和部分内容进行加密签名，验证邮件来源的真实性。当攻击者控制合法域名并配置正确DKIM时，邮件在技术层面可被接收方视为“已验证”，从而绕过多数基于域名信誉的过滤机制。

此外，邮件内容中广泛使用动态生成的品牌LOGO与UI元素，通过服务器端脚本实时生成与目标企业官网高度一致的视觉界面，增强欺骗性。为规避基于外链检测的沙箱分析，攻击者将图像资源以Base64编码直接嵌入HTML正文中，避免触发对外部CDN或恶意图像服务器的请求。

2.2 用户诱导界面设计

“ClickFix”的核心交互设计围绕“修复”（Fix）这一动作展开。典型邮件内容通常包含以下结构：

问题陈述：“检测到您的邮箱存储空间即将耗尽”“发现账户存在安全漏洞”“合规扫描提示需立即修补”；

解决方案呈现：一个醒目的按钮，标注为“一键修复”“立即清理”“安全加固”；

低威胁语境：避免使用“立即行动”“账户将被关闭”等高压力措辞，转而强调“只需一次点击即可恢复系统健康”。

该设计巧妙利用了用户对“系统维护”类操作的低戒备心理。在日常使用中，用户频繁接触“更新”“清理”“优化”等正向功能按钮，已形成自动化点击习惯。“ClickFix”正是利用这一行为惯性，将恶意操作伪装为常规维护。

2.3 凭证捕获与会话劫持

用户点击“修复”按钮后，通常被导向一个由攻击者控制的AiTM（Adversary-in-the-Middle）网关。该网关作为反向代理，位于用户与真实服务（如Office 365、Google Workspace）之间，具备以下功能：

前端仿冒：呈现与真实登录页面完全一致的界面；

凭证中继：捕获用户输入的用户名、密码及MFA验证码，并实时转发至真实服务完成登录；

会话Cookie捕获：在用户成功认证后，获取服务端签发的会话Cookie（如ASP.NET_SessionId、auth_token）；

会话重放：攻击者利用捕获的Cookie，通过另一设备或网络直接访问用户账户，实现持久化控制。

值得注意的是，即便目标服务启用了基于短信或认证器App的MFA，该机制仍被有效绕过。原因在于，AiTM网关在用户完成MFA验证的瞬间即完成会话建立，攻击者获取的是已通过认证的会话凭证，而非静态密码。

2.4 攻击规避与目标筛选

为规避自动化分析环境（如沙箱），部分“ClickFix”套件集成地理封锁与浏览器指纹检测机制。例如，仅当访问者IP位于特定国家、使用特定浏览器版本且具备完整JavaScript执行环境时，才展示恶意按钮；否则显示空白页面或正常内容。此类技术显著增加了威胁狩猎的难度。

监测数据显示，攻击目标高度集中于金融、法律与医疗机构的后台系统。这些行业普遍具备以下特征：

拥有丰富的PII与财务数据；

系统门户集成支付接口或高权限操作功能；

员工日常处理大量系统通知，对“维护类”邮件接受度高。

3. 心理操控机制：从“损失规避”到“任务完成驱动”

“ClickFix”的成功不仅依赖技术手段，更深层源于其对人类认知偏误的精准利用。行为经济学中的损失规避（Loss Aversion）理论指出，个体对损失的敏感度远高于对收益的期待。攻击者通过“存储空间不足”“安全漏洞”等表述，暗示用户若不采取行动将面临负面后果（如数据丢失、账户被锁），从而激发其规避损失的动机。

同时，“ClickFix”契合了用户对任务完整性（Task Closure）的心理需求。现代信息环境中，用户面临大量未完成任务（如未读邮件、待处理通知）。“修复”按钮提供了一种“一键解决”的幻觉，满足了用户快速完成任务、恢复心理秩序的内在驱动力。相比传统钓鱼的“威胁-服从”模式，“ClickFix”的“问题-解决”框架更具正向引导性，显著降低了用户的警惕水平。

此外，攻击者通过情境仿真（Contextual Simulation）增强可信度。邮件设计模仿企业IT部门的标准通知模板，使用专业术语与内部流程语言，使用户误判其为组织内部通信，进一步削弱防御心理。

4. 防御策略与技术响应

面对“ClickFix”攻击的复杂性，单一防御措施难以奏效。本文提出一个多层次、闭环式的防御框架，涵盖技术控制、流程优化与用户教育三个维度。

4.1 情境引导迁移：减少外部触发

企业应将所有系统维护、存储清理、合规修补等操作统一纳入内部门户或IT服务管理平台（如ServiceNow），禁止通过外部邮件发起高风险操作。用户需通过已认证的内部通道访问相关功能，从根本上切断“ClickFix”的入口。

4.2 技术层防御：阻断会话重放

部署反向代理会话绑定机制，将用户会话与客户端特征强绑定。具体措施包括：

TLS指纹绑定：记录用户首次建立HTTPS连接时的TLS Client Hello特征（如支持的加密套件、扩展顺序）；

IP声誉检查：对异常地理位置或高风险ASN的登录请求进行二次验证；

设备指纹关联：结合浏览器指纹（Canvas、WebGL、字体列表）进行持续认证。

当检测到会话Cookie在不同设备或网络环境下重放时，系统应自动终止会话并触发告警。

4.3 邮件安全增强：语义与视觉解析

邮件安全引擎需升级对“动作词+修复提示”语言模式的检测能力。例如，识别“一键修复”“立即清理”“自动修补”等高频诱导性短语，并结合上下文进行风险评分。同时，增强对SVG按钮伪装的解析能力，识别通过矢量图形模拟真实UI控件的恶意内容。

4.4 用户教育：情景化演练

传统安全培训多以理论讲解为主，效果有限。建议采用情景化模拟演练，向员工展示真实的“ClickFix”攻击流程，包括邮件界面、按钮设计与跳转路径，提升其识别能力。演练应定期更新，覆盖最新攻击变种。

4.5 高价值账户强化：硬件密钥与条件访问

对财务、法务、高管等高权限账户，应强制实施：

FIDO2硬件安全密钥（如YubiKey），防止MFA凭证被中继；

条件访问策略（Conditional Access），基于用户位置、设备状态、风险级别动态调整认证要求。

5. 应急响应与事后处置

若怀疑账户已遭“ClickFix”攻击，应立即执行以下操作：

会话失效：通过身份提供商（IdP）管理后台强制注销所有活跃会话；

OAuth审计：检查近48小时内新增的第三方应用授权，移除可疑权限；

邮件规则审查：排查是否存在被篡改的自动转发规则；

日志分析：追溯异常登录时间、IP地址与操作行为。

6. 结语

“ClickFix”钓鱼攻击的兴起，标志着网络钓鱼技术已从粗放式欺骗进入精细化心理操控阶段。其通过构建“修复”情境、利用认知偏误、结合AiTM会话劫持，实现了对传统MFA机制的有效绕过。该攻击不仅威胁个体账户安全，更可能成为企业数据泄露与金融欺诈的跳板。

防御此类攻击，需摒弃“仅靠用户警惕”的旧有思维，转向“技术控制+流程优化+持续教育”的综合范式。未来，随着生成式AI在内容伪造中的应用深化，钓鱼攻击的仿真度将进一步提升。安全体系的建设必须从“识别恶意”转向“验证行为”，推动零信任架构与持续身份验证的深度落地。唯有如此，方能在不断演进的攻防博弈中维持动态平衡。

编辑：芦笛（公共互联网反网络钓鱼工作组）