如今，垃圾郵件早已為人所熟知。這種郵件往往給某種產(chǎn)品做廣告，其發(fā)送者利用從各種源頭獲得的郵件地址清單，發(fā)送大量的垃圾郵件。它一般都沒有特定的目標(biāo)，發(fā)送者依靠接收者的絕對數(shù)量為其提供收入。

[[132815]]

垃圾郵件成為一種有利可圖的業(yè)務(wù)方案，但它一般并無惡意，且其內(nèi)容一般并不涉及到惡意軟件或病毒。

而網(wǎng)絡(luò)釣魚實際上是一種特殊形式的社交工程。網(wǎng)絡(luò)釣魚者一般不會盲目地將成千上萬的郵件發(fā)送給隨機用戶，而是往往有著具體目標(biāo)。釣魚一般是通過電子郵件或惡意網(wǎng)站來發(fā)起的，其意圖是通過扮演某個用戶已經(jīng)認(rèn)識或信任的人來獲得用戶信任。其獲取用戶信任的手段是使用用戶已經(jīng)認(rèn)識的人的郵件地址或姓名，或是使用有名望的機構(gòu)的名稱來取得用戶的信任。其扮演的機構(gòu)可包括銀行、電子商務(wù)網(wǎng)站(如京東)，或是其它公司或企業(yè)。“這些機構(gòu)”的郵件消息可能要求用戶的賬戶信息去驗證其身份，或者可能提示用戶：你的賬戶或貨物發(fā)生了問題。釣魚攻擊也可以由即時消息通信、文本通信、打電話等來發(fā)起，但其基本伎倆卻是類似的。

釣魚攻擊還可以利用慈善機構(gòu)或企業(yè)的名稱或聲譽，甚至可以利用當(dāng)前發(fā)生的事件(如埃博拉病毒的暴發(fā))、災(zāi)難(如地震、洪水泛濫)等。

釣魚郵件或網(wǎng)站往往利用惡意軟件、病毒或其它惡意代碼來破壞用戶的計算機，并獲取關(guān)于用戶的進一步的信息。其發(fā)出的消息可能指出用戶的名字，看起來就如同來自親朋、同事，或是來自企業(yè)正在合作的伙伴。換句話說，這類郵件可能在多個方面看都是合法、合情、合理的。

雖然今天釣魚攻擊的基本概念并沒有什么變化，但是，其實施和利用漏洞的手段已經(jīng)發(fā)生了變化。在2014年下半年以來，一種新型的攻擊開始利用常見的釣魚技術(shù)，并部署銀行惡意軟件。這種釣魚郵件的目的是欺騙接收者打開附件中的PDF文件(如標(biāo)題為“未付款發(fā)票”的文件)。

這種攻擊的有效手段為銀行惡意軟件，它利用的是一個新的Adobe漏洞。雖然此漏洞并不是零日漏洞，但補丁的部署和更新往往姍姍來遲。攻擊者就是利用這種延遲，部署其釣魚機制，并耐心等待，在發(fā)現(xiàn)新漏洞時，就可以快速發(fā)動攻擊。

還有另一種形式的釣魚威脅也值得一提，因為它依賴的是一種不同類型的東西，即欺詐軟件。這種惡意軟件不會竊取或檢索用戶的個人信息(姓名、銀行信息憑證等等)，這種惡意軟件可以加密受感染的計算機上的文件，并要求用戶付款。

用戶為何屢屢中招

釣魚攻擊早已橫行多年，而且其伎倆具有相當(dāng)?shù)倪B續(xù)性，但用戶仍屢屢中招。為什么?三個主要的因素可概括如下：

信任：IT領(lǐng)域之外的人們，特別是IT安全領(lǐng)域之外的人更容易相信別人。如果這些用戶收到了一份電子郵件消息，告訴其信用卡信息遭到泄露，或是忘記了付款，這些用戶就有輕信的傾向。如果用戶收到了某個認(rèn)識的人的郵件，就很容易相信。

恐懼：為什么說恐懼是這類釣魚攻擊成功的因素?信用卡信息遭到泄露的新聞屢屢見諸各種媒體，還有一些大型企業(yè)遭到黑客攻擊，成千上萬的客戶記錄被泄露。人們一般都擔(dān)心自己會有財務(wù)損失，或者其信用受到負(fù)面影響。釣魚郵件就是利用人們的這種心理，要求用戶快速做出響應(yīng)。

缺乏認(rèn)識：教育一直是信息安全的首要工作。多年以來，安全專家們都知道人員是防御陣線中的最薄弱環(huán)節(jié)。在網(wǎng)絡(luò)釣魚問題上，尤其如此。如果不理解這一點，勢必會出問題。許多人至今都不理解與使用互聯(lián)網(wǎng)及其資源有關(guān)的各種風(fēng)險。電子郵件及其附件、網(wǎng)站、文件下載等每天都有可能給員工和企業(yè)帶來各種風(fēng)險。