攻防实战之如何识别钓鱼邮件

•近几年，社会工程学攻击已经成为IT部门关注的重点，2021年网络犯罪造成的破坏将让全球每年损失6万亿美元；

•超过90％的黑客攻击和数据泄露源于网络钓鱼诈骗；

•超过 60%的网络攻击的关键因素是“人的因素”。

•在信息传输、计算机服务和软件业的钓鱼基准测试，其中中招率为 43.61％。

•近几年，各国 APT 组织的攻击活动主要围绕定制化的钓鱼邮件，通过邮件中各类恶意附件文件达成攻击目的。被广泛使用的恶意附件类型可以包括文档、快捷方式文件、html 文件等。

•整体而言，钓鱼文档存在易检测、易拦截、易溯源的固有问题，但由于技术门槛较低、投入回报比较高，各国 APT 组织依然依靠恶意文档提供基本面的攻击能力，为更高精度的定向攻击提供情报基础。

一、攻防演练中的钓鱼邮件

1.1 什么是钓鱼邮件？

钓鱼邮件是是一种网络欺诈邮件，利用伪装的电子邮件诱骗收件人访问特制网站或点击打开指定的文件，用于获取收件人的账号、密码等敏感信息或获取终端设备权限的社会工程学攻击方式。

1.2 典型案例

•2022年4月中旬，搜狐员工收到以工资补贴相关的钓鱼邮件。邮件附件是一个doc文档，文件内容是“关于发布最新工资补贴通知，请打开附件查收！”

•打开word文档后，要求员工扫描二维码，扫描后会转到钓鱼链接：http://546a2cd984338f4ec6091d63c394be61.kjhdf.uno/。

•钓鱼页面内容仿冒“工资补贴”或“中国***在线认证中心”相关主题。

•用户根据欺诈页面引导进行操作后，被引导至个人银行卡信息收集页面，收集的信息包括银行卡、姓名、身份证、手机号、有效期、CVN、信用额度、卡内余额等。

•用户填写信息后，会进行手机号短信或银行卡验证。

二、常见鱼叉式钓鱼攻击

2.1 什么是鱼叉式钓鱼攻击？

鱼叉式钓鱼（Spear phishing）是一种针对特定目标进行攻击的网络钓鱼攻击。对于鱼叉式钓鱼攻来说击，防病毒和反垃圾邮件等传统安全防御措施，以及电子邮件防护网关根本无法检测并阻止该攻击。从网络罪犯的角度看，鱼叉式网络钓鱼是各种破坏性攻击的中最为理想的攻击方式。攻击者更加关注高管和其他具有管理员权限的雇员，诱使其启动恶意软件，进入公司内网环境。

2.2 鱼叉式钓鱼攻击利用方式

鱼叉式钓鱼（Spear phishing）攻击常见可利用的四个位置：邮件地址的仿冒、邮件内容的诱骗、隐藏链接的恶意跳转、邮件附件的木马免杀；

2.3 发起一次钓鱼攻击常见流程

三、实战案例

钓鱼网站-凭证窃取

附件免杀-获取终端权限

网页挂马-获取终端权限