一、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的工作原理

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)是針對(duì)組織內(nèi)特定個(gè)人或部門(mén)的電子郵件，看似來(lái)自可信來(lái)源。這實(shí)際上是網(wǎng)絡(luò)犯罪分子試圖竊取機(jī)密信息。

我們首先來(lái)看看發(fā)送攻擊所需的步驟，然后再看看減輕這種威脅的步驟。關(guān)于（簡(jiǎn)化的）攻擊步驟，我們將引用著名五項(xiàng)測(cè)試專(zhuān)家布蘭登-麥肯（Brandon McCann）的一篇精彩博文來(lái)展示。

1.確定電子郵件地址

黑客發(fā)送釣魚(yú)郵件活動(dòng)通常有兩種方式：

第一種是“廣撒網(wǎng)”的方法，這類(lèi)似于散彈槍的策略。他們盡可能多地獲取組織內(nèi)的電子郵件地址，并向這些地址發(fā)送郵件，希望收件人會(huì)點(diǎn)擊。

第二種是明確他們想要獲取的數(shù)據(jù)，然后確定哪些人擁有該數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限，并專(zhuān)門(mén)針對(duì)這些人進(jìn)行攻擊。這就是“魚(yú)叉式釣魚(yú)”的方法。例如，脈脈、LinkedIn在這個(gè)定向步驟中非常有用。

獲取組織內(nèi)部電子郵件地址有多種方法。網(wǎng)絡(luò)犯罪分子最常用的一種是利用腳本從大型搜索引擎中收集電子郵件地址。你可能會(huì)驚訝于通過(guò)這種方式能收集到的電子郵件數(shù)量，以及一個(gè)組織可能暴露的魚(yú)叉式釣魚(yú)攻擊面有多大。一旦他們獲取了目標(biāo)幾個(gè)人的電子郵件地址，就可以進(jìn)入下一步了。

2.避開(kāi)殺毒軟件

為了使攻擊郵件成功到達(dá)目標(biāo)的收件箱，必須繞過(guò)目標(biāo)使用的殺毒軟件。通過(guò)在IT招聘網(wǎng)站上搜索目標(biāo)組織的系統(tǒng)管理員職位空缺，可以獲取大量驚人的信息。這些職位描述中通常會(huì)明確列出他們使用的殺毒軟件及其版本。

如果沒(méi)有這些信息，還可以通過(guò)DNS緩存窺探甚至社交媒體等其他方式獲取。一旦確定了目標(biāo)使用的殺毒軟件，可以在測(cè)試環(huán)境中安裝該軟件，以確保郵件能夠順利通過(guò)。例如，Metasploit是一個(gè)開(kāi)源的計(jì)算機(jī)安全項(xiàng)目，它能夠提供有關(guān)安全漏洞的信息，并幫助進(jìn)行滲透測(cè)試，能在這種情況下派上用場(chǎng)。

3.出口過(guò)濾

黑客無(wú)法從攻擊的組織中獲取信息，除非他們隨攻擊發(fā)送的有效載荷允許流量從組織內(nèi)部向外傳輸。一種常見(jiàn)的有效載荷被稱(chēng)為“reverse_https”（反向HTTPS），因?yàn)樗鼤?huì)創(chuàng)建一個(gè)加密隧道連接到 Metasploit服務(wù)器。這使得像入侵檢測(cè)系統(tǒng)或防火墻這樣的安全軟件很難檢測(cè)到任何異常。

對(duì)于這些安全產(chǎn)品來(lái)說(shuō)，釣魚(yú)數(shù)據(jù)的外發(fā)流量看起來(lái)就像普通的 HTTPS流量，從而有效地隱藏了攻擊行為。

4.魚(yú)叉式釣魚(yú)場(chǎng)景

如今關(guān)于這類(lèi)攻擊的文章已有很多，它是用戶(hù)社會(huì)工程攻擊的核心。如果用戶(hù)沒(méi)有接受高質(zhì)量的安全意識(shí)培訓(xùn)，他們會(huì)成為魚(yú)叉式釣魚(yú)攻擊的輕易目標(biāo)。攻擊者會(huì)對(duì)目標(biāo)進(jìn)行研究，了解他們經(jīng)常與哪些人溝通，然后向目標(biāo)發(fā)送一封個(gè)性化的電子郵件，利用22種社會(huì)工程學(xué)警示標(biāo)志之一或多種，誘使目標(biāo)點(diǎn)擊鏈接或打開(kāi)附件。

5.發(fā)送釣魚(yú)郵件

一種方法是臨時(shí)搭建一個(gè)郵件服務(wù)器并大規(guī)模發(fā)送郵件，但這樣的郵件服務(wù)器沒(méi)有信譽(yù)評(píng)分，這會(huì)導(dǎo)致大量郵件被攔截。

更好的解決方案是前往 GoDaddy購(gòu)買(mǎi)一個(gè)有效的域名，使用隨域名附帶的免費(fèi)郵件服務(wù)器進(jìn)行設(shè)置，這樣 GoDaddy會(huì)自動(dòng)創(chuàng)建一個(gè) MX記錄。

此外，可以輕松修改 GoDaddy的 Whois信息，使其與目標(biāo)域名匹配。這些操作都有助于提高郵件的送達(dá)率，郵件可以通過(guò)任何郵件客戶(hù)端或腳本發(fā)送。

6.收獲“戰(zhàn)利品”

假設(shè)目標(biāo)點(diǎn)擊了鏈接，網(wǎng)絡(luò)犯罪分子成功在目標(biāo)設(shè)備上植入了鍵盤(pán)記錄器。接下來(lái)，只需等待鍵盤(pán)數(shù)據(jù)每小時(shí)批量傳回他們的服務(wù)器，并監(jiān)控其中的登錄憑據(jù)。一旦獲取了這些憑據(jù)，下一步就是進(jìn)入目標(biāo)工作站，提取所有網(wǎng)絡(luò)密碼哈希值，破解它們，并逐步提升權(quán)限，最終獲得整個(gè)網(wǎng)絡(luò)的管理員訪(fǎng)問(wèn)權(quán)限。

二、真實(shí)案例

1.惡意附件

網(wǎng)絡(luò)犯罪分子正在利用一個(gè)微軟漏洞繞過(guò)終端安全軟件，通過(guò)Microsoft PowerPoint文件投遞Remcos遠(yuǎn)程訪(fǎng)問(wèn)木馬。此次攻擊從魚(yú)叉式釣魚(yú)郵件開(kāi)始，聲稱(chēng)來(lái)自一家電纜制造供應(yīng)商，主要針對(duì)電子制造行業(yè)的組織。發(fā)送者的地址被偽裝得像是來(lái)自商業(yè)合作伙伴，郵件內(nèi)容被設(shè)計(jì)成一個(gè)訂單請(qǐng)求，附件聲稱(chēng)包含“運(yùn)輸信息”。

2.勒索軟件攻擊

許多魚(yú)叉式釣魚(yú)攻擊都包含勒索軟件作為有效載荷。Defray勒索軟件就是一個(gè)典型的例子，它主要針對(duì)美國(guó)和英國(guó)的醫(yī)療、教育、制造和技術(shù)行業(yè)。

Defray的感染途徑是帶有惡意 Microsoft Word文檔附件的魚(yú)叉式釣魚(yú)郵件，這些攻擊活動(dòng)規(guī)模很小，每次僅發(fā)送少量郵件。一旦打開(kāi)附件，勒索軟件就會(huì)被安裝。這種攻擊僅出現(xiàn)在少量、非常有針對(duì)性的場(chǎng)景中，并且要求高額贖金——高達(dá)5000美元。

三、釣魚(yú)攻擊 vs魚(yú)叉式釣魚(yú)攻擊

盡管釣魚(yú)攻擊和魚(yú)叉式釣魚(yú)攻擊類(lèi)似，但需要注意它們之間的許多關(guān)鍵區(qū)別。

釣魚(yú)攻擊是一種非常廣泛且自動(dòng)化的活動(dòng)，可以稱(chēng)為“廣撒網(wǎng)，祈禱碰運(yùn)氣”。執(zhí)行大規(guī)模的釣魚(yú)活動(dòng)并不需要太多技術(shù)技能。這類(lèi)攻擊的目標(biāo)通常是獲取信用卡數(shù)據(jù)、用戶(hù)名和密碼等信息，并且往往是一擊即退的方式。

而魚(yú)叉式釣魚(yú)則高度針對(duì)性，目標(biāo)是特定的員工、公司或公司內(nèi)部的個(gè)人。這種方法需要高級(jí)的黑客技術(shù)以及對(duì)目標(biāo)的大量研究。魚(yú)叉式釣魚(yú)的目標(biāo)是更有價(jià)值的數(shù)據(jù)，比如機(jī)密信息、商業(yè)秘密等。因此，這種攻擊需要更加精準(zhǔn)的方式，他們會(huì)找出掌握目標(biāo)信息的人并專(zhuān)門(mén)針對(duì)該人發(fā)起攻擊。

魚(yú)叉式釣魚(yú)郵件通常只是攻擊的開(kāi)始，網(wǎng)絡(luò)犯罪分子通過(guò)它試圖獲取更大網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。

以下是一張信息圖，直觀(guān)展示了釣魚(yú)攻擊和魚(yú)叉式釣魚(yú)攻擊之間的區(qū)別。

四、如何防范魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊

沒(méi)有單一的方法能夠完全阻止此類(lèi)威脅，但以下措施能幫助你讓組織成為網(wǎng)絡(luò)犯罪分子的非潛在目標(biāo)：

首先，確保所有的防御層都到位。防御此類(lèi)攻擊需要多層次的保護(hù)。關(guān)鍵是盡可能讓攻擊者難以突破，同時(shí)不要依賴(lài)任何單一的安全措施來(lái)保護(hù)你的組織。

不要在網(wǎng)站上公開(kāi)列出所有員工的電子郵件地址，可以改用網(wǎng)頁(yè)表單代替。

定期掃描互聯(lián)網(wǎng)，檢查是否有暴露的電子郵件地址和/或憑證。你不是第一個(gè)在犯罪或色情網(wǎng)站上發(fā)現(xiàn)自己用戶(hù)的用戶(hù)名和密碼的人。

絕不通過(guò)電子郵件發(fā)送敏感的個(gè)人信息。如果你收到要求提供此類(lèi)信息的郵件，要保持警惕。如果有疑問(wèn)，應(yīng)直接聯(lián)系信息來(lái)源。

教育用戶(hù)避免在社交媒體上過(guò)度分享個(gè)人信息。網(wǎng)絡(luò)犯罪分子知道的越多，他們?cè)诰帉?xiě)魚(yú)叉式釣魚(yú)郵件時(shí)就越能讓郵件看起來(lái)更真實(shí)、可信。

用戶(hù)是你最后的防線(xiàn)！他們需要接受新型的安全意識(shí)培訓(xùn)，并經(jīng)常參與模擬釣魚(yú)攻擊，以保持警覺(jué)，將安全放在首位。我們KnowBe4提供全球最大的安全意識(shí)培訓(xùn)內(nèi)容庫(kù)，并結(jié)合最佳的模擬釣魚(yú)測(cè)試，無(wú)論是事前還是事后。由于91%的成功攻擊是通過(guò)魚(yú)叉式釣魚(yú)進(jìn)入的，這樣的培訓(xùn)將帶來(lái)極高的投資回報(bào)率，并能提供可見(jiàn)的培訓(xùn)效果證明。

五、KnowBe4免費(fèi)釣魚(yú)測(cè)試資源

1.釣魚(yú)安全測(cè)試

KnowBe4為我們提供免費(fèi)的釣魚(yú)安全測(cè)試，通過(guò)這種測(cè)試，您可以清晰地評(píng)估員工的釣魚(yú)識(shí)別能力，了解可能的安全漏洞，并將測(cè)試結(jié)果作為改進(jìn)安全培訓(xùn)和爭(zhēng)取預(yù)算的依據(jù)。以下是釣魚(yú)安全測(cè)試的工作流程：

隨時(shí)啟動(dòng)測(cè)試，最多覆蓋100個(gè)用戶(hù)（無(wú)需與任何人溝通）。

適應(yīng)20多種語(yǔ)言，并根據(jù)您的環(huán)境自定義釣魚(yú)測(cè)試模板。

選擇用戶(hù)點(diǎn)擊后看到的登錄頁(yè)面，可以是培訓(xùn)頁(yè)面，也可以是404頁(yè)面，幫助提醒用戶(hù)注意到安全漏洞。

展示用戶(hù)忽略的紅旗或錯(cuò)誤信息，幫助他們了解哪些釣魚(yú)特征未被識(shí)別。

在24小時(shí)內(nèi)將包含釣魚(yú)易感性百分比和圖表的PDF發(fā)送到您的郵箱，方便與管理層分享。

查看您的組織與同行業(yè)其他公司相比的釣魚(yú)易感性。

釣魚(yú)易感性百分比通常高于預(yù)期，這是為安全預(yù)算爭(zhēng)取支持的有力證據(jù)。

2.域名欺騙測(cè)試

您是否知道，黑客通常會(huì)偽造公司CEO的電子郵件地址，發(fā)起“CEO欺詐”或魚(yú)叉式釣魚(yú)攻擊？一旦成功，突破企業(yè)網(wǎng)絡(luò)防御變得輕而易舉，可能導(dǎo)致重要信息泄露，甚至更大的安全威脅。

通過(guò)KnowBe4域名欺騙測(cè)試，您可以檢測(cè)組織域名是否存在被偽造的風(fēng)險(xiǎn)，發(fā)現(xiàn)潛在漏洞并提前采取防護(hù)措施。這不僅能防止域名偽造攻擊和CEO欺詐，還能提升員工警覺(jué)性，確保及時(shí)識(shí)別偽造郵件，全面提升企業(yè)安全防御能力。

魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)精準(zhǔn)且隱蔽，不僅竊取敏感信息，還可能癱瘓整個(gè)網(wǎng)絡(luò)，給企業(yè)帶來(lái)難以估量的損失。KnowBe4通過(guò)免費(fèi)釣魚(yú)測(cè)試和安全意識(shí)培訓(xùn)，幫助企業(yè)識(shí)別風(fēng)險(xiǎn)、提升員工警覺(jué)性，有效防范攻擊。聯(lián)系我們，免費(fèi)試用釣魚(yú)測(cè)試工具，守護(hù)您的企業(yè)安全，從現(xiàn)在開(kāi)始！

審核編輯 黃宇