前言

以下故事，純屬虛構(gòu)，如有雷同，實(shí)屬巧合。

郵件釣魚的測試最終結(jié)果出來了，所有部門無一幸免，都有員工貢獻(xiàn)了數(shù)據(jù)。領(lǐng)導(dǎo)在企業(yè)微信里強(qiáng)調(diào)，讓大家重視起來，不能在一個(gè)地方摔倒兩次。

和我鄰座的小楊，至今在懊悔。怎么那天就鬼使神差的點(diǎn)擊了郵件的鏈接，并且傻乎乎的填寫了登錄賬號(hào)和密碼。他苦笑著：”這IT這釣魚郵件偽裝的太像了。嘖嘖，年會(huì)抽獎(jiǎng)，還尋思今年提前抽個(gè)大獎(jiǎng)呢。“

[[311967]]

我內(nèi)心是竊喜的。倒不是因?yàn)槲覂e幸躲過一劫，而是我在個(gè)人安全等級(jí)考試涉險(xiǎn)過關(guān)，有底氣在心里面默默提高一檔。上當(dāng)?shù)耐拢馨脨?，關(guān)鍵時(shí)候掉鏈子，太大意了。有個(gè)地縫恨不得讓始作俑者鉆進(jìn)去。大家議論，策劃者老周，看他平時(shí)笑呵呵很慈祥，其實(shí)滿肚子墨水。為企業(yè)內(nèi)部安全和員工安全意識(shí)提升出謀劃策，貢獻(xiàn)良多。

有個(gè)小插曲，差點(diǎn)打亂測試節(jié)奏。有同事在企微里發(fā)了郵件的截圖，懷疑是一封釣魚郵件。同事看到了，如果稍加留意，可能會(huì)避免上當(dāng)。當(dāng)然，對(duì)于策劃者來說，這就尷尬了。確認(rèn)是釣魚郵件，測試員工安全意識(shí)的結(jié)果會(huì)有折扣;不確認(rèn)，是工作失職。最后，他們決定打個(gè)馬虎眼，說要調(diào)研一下，先搪塞一下。好在這條消息迅速淹沒了，策劃者虛驚一場。

領(lǐng)導(dǎo)指示大家，最近要”提高警惕，謹(jǐn)言慎點(diǎn)“，提高保密意識(shí)，切勿泄漏商業(yè)機(jī)密，郵件中的鏈接，點(diǎn)擊之前需三思。防火防盜防釣魚。

釣魚郵件的現(xiàn)狀

釣魚郵件善于利用人們的心理。社會(huì)熱點(diǎn)事件，節(jié)假日，雙十一血拼，這些時(shí)間點(diǎn)，是釣魚郵件傳播的高峰期。

郵件的來往還是企業(yè)間溝通的主要方式。雖然微信早已普及，但正式的函件合同等，還是以郵件為主。有些金融機(jī)構(gòu)，只有郵件是和外界溝通的渠道，也是安全風(fēng)險(xiǎn)的主要來源。

發(fā)送釣魚郵件，是一種普遍的社會(huì)工程學(xué)攻擊。2017年Verizon發(fā)布的數(shù)據(jù)泄漏調(diào)查報(bào)告中，有高達(dá)66%的數(shù)據(jù)泄漏事件和釣魚郵件相關(guān)。2019年，Proofpoint公司發(fā)布的釣魚郵件報(bào)告顯示，83%的信息安全受訪者遇到過釣魚郵件。

防御釣魚郵件的道路上，道阻且長。人的安全意識(shí)，怎么強(qiáng)調(diào)都不為過。然而強(qiáng)大的思維慣性，行為習(xí)慣等很難更改。

釣魚郵件的攻擊類型

在攻擊者眼里，釣魚郵件，是最為有效和簡單易行的攻擊方式。有兩種目的的釣魚郵件。

其一，廣撒網(wǎng)型。發(fā)送大量的釣魚郵件，愿者上鉤。攻擊者用這種方式，獲取銀行賬號(hào)和密碼，社交賬號(hào)和密碼，然后在利用這些機(jī)密再去實(shí)施后續(xù)的攻擊。比如，攻擊者構(gòu)造一個(gè)釣魚網(wǎng)站，和正式的網(wǎng)站一樣。釣魚郵件里面，帶上這個(gè)網(wǎng)址URL，誘導(dǎo)點(diǎn)擊。知名的購物網(wǎng)站，社交網(wǎng)站，銀行網(wǎng)站，常常是假冒網(wǎng)站的目標(biāo)。

圖：假冒銀行的釣魚網(wǎng)站

圖：假冒蘋果的釣魚網(wǎng)站

此外，攻擊者還利用釣魚郵件，散播惡意軟件或勒索軟件，安裝木馬。比如，WannaCry這個(gè)勒索軟件，最為開始的傳播方式，就是利用了釣魚郵件，令受害者點(diǎn)擊下載，再通過局域網(wǎng)掃描，發(fā)現(xiàn)存在漏洞的主機(jī)感染傳播，最終，導(dǎo)致全球范圍內(nèi)大規(guī)模感染。

其二，魚叉攻擊。這是高級(jí)持續(xù)性威脅APT的一種滲透方式。攻擊者針對(duì)具體的目標(biāo)，有針對(duì)性的構(gòu)造郵件，發(fā)送的目標(biāo)也是挑選的。郵件或者帶有附件，或者是惡意URL，受害者打開附件或者點(diǎn)擊鏈接后，植入木馬后被控制。通常是以長期的潛伏，竊取機(jī)密情報(bào)為目的。

釣魚郵件的防范實(shí)踐

釣魚郵件的防范，需要技術(shù)手段和提高員工識(shí)別能力上兩手抓，兩手都要硬。

技術(shù)措施：

• 郵件來源認(rèn)證措施
• 借助安全信譽(yù)過濾郵件
• 郵件沙箱分析過濾未知惡意附件和URL
• 應(yīng)用訪問實(shí)現(xiàn)多因素認(rèn)證

提高員工鑒別能力：

• 持續(xù)的安全意識(shí)培訓(xùn)
• 郵件釣魚測試

最后的想法

時(shí)鐘撥回到37年前1982年， RFC821定義了SMTP協(xié)議，即簡單郵件協(xié)議的規(guī)范。盡管后續(xù)增加了一些補(bǔ)充規(guī)范，不過是修修補(bǔ)補(bǔ)，這是郵件安全老大難的根本原因。人們的溝通，只要還使用這個(gè)協(xié)議，釣魚郵件的社會(huì)工程就會(huì)一直存在。

技術(shù)上的檢測和隔離，郵件來源認(rèn)證能夠過濾掉大部分釣魚郵件。漏網(wǎng)之魚，還需要郵件接收者警惕。

回到最初的故事，加入您在釣魚郵件測試中招，不必感到羞愧。相反，吃一塹，長一智，后面若是有真正釣魚郵件，難逃您的慧眼。

 【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文