Dark123 Field Guide

收到可疑链接时,怎样在不暴露自己的情况下分析

最常见的错误是直接点击链接验证。正确流程是先隔离、再查询已有情报,最后才决定是否需要受控访问。

Step 01

不要在原始设备和账号会话中点击

先记录收到链接的渠道、时间、发件人和完整文本,不回复、不登录,也不要把链接转发到公开群组。页面可能利用登录状态、设备指纹和追踪参数确认目标有效。

如果链接包含姓名、邮箱、订单号或长查询参数,保存原始证据后制作脱敏副本用于外部查询。

Step 02

先查询信誉和历史记录

优先查询域名、URL 或哈希是否已经出现在公开信誉数据中。查看首次发现时间、命中来源和历史跳转,不要只看一个红色或绿色分数。

未命中只表示当前数据源没有记录。新注册域名、一次性路径和被入侵的正常网站都可能暂时没有信誉标签。

Step 03

需要网页行为时使用隔离扫描

如果需要知道最终跳转、加载脚本和页面截图,使用受控的网页扫描服务,并确保脱敏 URL 不包含登录令牌。扫描结果可能公开,内部地址和客户专属链接不应提交。

分析请求链中的新注册域名、外部表单、下载文件和品牌不一致,但不要仅凭页面外观判断真伪。

Step 04

把结论转成动作

确认恶意后,保存必要证据,阻断域名或 URL,搜索同类邮件,并检查是否有人访问、输入凭据或下载文件。

如果用户已经提交密码,应立即从可信设备修改密码、撤销会话并启用多因素认证;下载过文件则需要终端安全团队进一步排查。

Action Checklist

执行清单

  1. 保存原始消息、链接和接收时间
  2. 制作不含个人参数的查询副本
  3. 先查信誉,再按需查看网页行为
  4. 确认是否有人点击、登录或下载
  5. 阻断、清理并通知受影响用户