一、魚叉式網(wǎng)絡(luò)釣魚的工作原理

魚叉式網(wǎng)絡(luò)釣魚是針對組織內(nèi)特定個(gè)人或部門的電子郵件，看似來自可信來源。這實(shí)際上是網(wǎng)絡(luò)犯罪分子試圖竊取機(jī)密信息。

我們首先來看看發(fā)送攻擊所需的步驟，然后再看看減輕這種威脅的步驟。關(guān)于（簡化的）攻擊步驟，我們將引用著名五項(xiàng)測試專家布蘭登-麥肯（Brandon McCann）的一篇精彩博文來展示。

1.確定電子郵件地址

黑客發(fā)送釣魚郵件活動(dòng)通常有兩種方式：

第一種是“廣撒網(wǎng)”的方法，這類似于散彈槍的策略。他們盡可能多地獲取組織內(nèi)的電子郵件地址，并向這些地址發(fā)送郵件，希望收件人會(huì)點(diǎn)擊。

第二種是明確他們想要獲取的數(shù)據(jù)，然后確定哪些人擁有該數(shù)據(jù)的訪問權(quán)限，并專門針對這些人進(jìn)行攻擊。這就是“魚叉式釣魚”的方法。例如，脈脈、LinkedIn在這個(gè)定向步驟中非常有用。

獲取組織內(nèi)部電子郵件地址有多種方法。網(wǎng)絡(luò)犯罪分子最常用的一種是利用腳本從大型搜索引擎中收集電子郵件地址。你可能會(huì)驚訝于通過這種方式能收集到的電子郵件數(shù)量，以及一個(gè)組織可能暴露的魚叉式釣魚攻擊面有多大。一旦他們獲取了目標(biāo)幾個(gè)人的電子郵件地址，就可以進(jìn)入下一步了。

2.避開殺毒軟件

為了使攻擊郵件成功到達(dá)目標(biāo)的收件箱，必須繞過目標(biāo)使用的殺毒軟件。通過在IT招聘網(wǎng)站上搜索目標(biāo)組織的系統(tǒng)管理員職位空缺，可以獲取大量驚人的信息。這些職位描述中通常會(huì)明確列出他們使用的殺毒軟件及其版本。

如果沒有這些信息，還可以通過DNS緩存窺探甚至社交媒體等其他方式獲取。一旦確定了目標(biāo)使用的殺毒軟件，可以在測試環(huán)境中安裝該軟件，以確保郵件能夠順利通過。例如，Metasploit是一個(gè)開源的計(jì)算機(jī)安全項(xiàng)目，它能夠提供有關(guān)安全漏洞的信息，并幫助進(jìn)行滲透測試，能在這種情況下派上用場。

3.出口過濾

黑客無法從攻擊的組織中獲取信息，除非他們隨攻擊發(fā)送的有效載荷允許流量從組織內(nèi)部向外傳輸。一種常見的有效載荷被稱為“reverse_https”（反向HTTPS），因?yàn)樗鼤?huì)創(chuàng)建一個(gè)加密隧道連接到 Metasploit服務(wù)器。這使得像入侵檢測系統(tǒng)或防火墻這樣的安全軟件很難檢測到任何異常。

對于這些安全產(chǎn)品來說，釣魚數(shù)據(jù)的外發(fā)流量看起來就像普通的 HTTPS流量，從而有效地隱藏了攻擊行為。

4.魚叉式釣魚場景

如今關(guān)于這類攻擊的文章已有很多，它是用戶社會(huì)工程攻擊的核心。如果用戶沒有接受高質(zhì)量的安全意識(shí)培訓(xùn)，他們會(huì)成為魚叉式釣魚攻擊的輕易目標(biāo)。攻擊者會(huì)對目標(biāo)進(jìn)行研究，了解他們經(jīng)常與哪些人溝通，然后向目標(biāo)發(fā)送一封個(gè)性化的電子郵件，利用22種社會(huì)工程學(xué)警示標(biāo)志之一或多種，誘使目標(biāo)點(diǎn)擊鏈接或打開附件。

5.發(fā)送釣魚郵件

一種方法是臨時(shí)搭建一個(gè)郵件服務(wù)器并大規(guī)模發(fā)送郵件，但這樣的郵件服務(wù)器沒有信譽(yù)評分，這會(huì)導(dǎo)致大量郵件被攔截。

更好的解決方案是前往 GoDaddy購買一個(gè)有效的域名，使用隨域名附帶的免費(fèi)郵件服務(wù)器進(jìn)行設(shè)置，這樣 GoDaddy會(huì)自動(dòng)創(chuàng)建一個(gè) MX記錄。

此外，可以輕松修改 GoDaddy的 Whois信息，使其與目標(biāo)域名匹配。這些操作都有助于提高郵件的送達(dá)率，郵件可以通過任何郵件客戶端或腳本發(fā)送。

6.收獲“戰(zhàn)利品”

假設(shè)目標(biāo)點(diǎn)擊了鏈接，網(wǎng)絡(luò)犯罪分子成功在目標(biāo)設(shè)備上植入了鍵盤記錄器。接下來，只需等待鍵盤數(shù)據(jù)每小時(shí)批量傳回他們的服務(wù)器，并監(jiān)控其中的登錄憑據(jù)。一旦獲取了這些憑據(jù)，下一步就是進(jìn)入目標(biāo)工作站，提取所有網(wǎng)絡(luò)密碼哈希值，破解它們，并逐步提升權(quán)限，最終獲得整個(gè)網(wǎng)絡(luò)的管理員訪問權(quán)限。

二、真實(shí)案例

1.惡意附件

網(wǎng)絡(luò)犯罪分子正在利用一個(gè)微軟漏洞繞過終端安全軟件，通過Microsoft PowerPoint文件投遞Remcos遠(yuǎn)程訪問木馬。此次攻擊從魚叉式釣魚郵件開始，聲稱來自一家電纜制造供應(yīng)商，主要針對電子制造行業(yè)的組織。發(fā)送者的地址被偽裝得像是來自商業(yè)合作伙伴，郵件內(nèi)容被設(shè)計(jì)成一個(gè)訂單請求，附件聲稱包含“運(yùn)輸信息”。

2.勒索軟件攻擊

許多魚叉式釣魚攻擊都包含勒索軟件作為有效載荷。Defray勒索軟件就是一個(gè)典型的例子，它主要針對美國和英國的醫(yī)療、教育、制造和技術(shù)行業(yè)。

Defray的感染途徑是帶有惡意 Microsoft Word文檔附件的魚叉式釣魚郵件，這些攻擊活動(dòng)規(guī)模很小，每次僅發(fā)送少量郵件。一旦打開附件，勒索軟件就會(huì)被安裝。這種攻擊僅出現(xiàn)在少量、非常有針對性的場景中，并且要求高額贖金——高達(dá)5000美元。

三、釣魚攻擊 vs魚叉式釣魚攻擊

盡管釣魚攻擊和魚叉式釣魚攻擊類似，但需要注意它們之間的許多關(guān)鍵區(qū)別。

釣魚攻擊是一種非常廣泛且自動(dòng)化的活動(dòng)，可以稱為“廣撒網(wǎng)，祈禱碰運(yùn)氣”。執(zhí)行大規(guī)模的釣魚活動(dòng)并不需要太多技術(shù)技能。這類攻擊的目標(biāo)通常是獲取信用卡數(shù)據(jù)、用戶名和密碼等信息，并且往往是一擊即退的方式。

而魚叉式釣魚則高度針對性，目標(biāo)是特定的員工、公司或公司內(nèi)部的個(gè)人。這種方法需要高級的黑客技術(shù)以及對目標(biāo)的大量研究。魚叉式釣魚的目標(biāo)是更有價(jià)值的數(shù)據(jù)，比如機(jī)密信息、商業(yè)秘密等。因此，這種攻擊需要更加精準(zhǔn)的方式，他們會(huì)找出掌握目標(biāo)信息的人并專門針對該人發(fā)起攻擊。

魚叉式釣魚郵件通常只是攻擊的開始，網(wǎng)絡(luò)犯罪分子通過它試圖獲取更大網(wǎng)絡(luò)的訪問權(quán)限。

以下是一張信息圖，直觀展示了釣魚攻擊和魚叉式釣魚攻擊之間的區(qū)別。

四、如何防范魚叉式網(wǎng)絡(luò)釣魚攻擊

沒有單一的方法能夠完全阻止此類威脅，但以下措施能幫助你讓組織成為網(wǎng)絡(luò)犯罪分子的非潛在目標(biāo)：

首先，確保所有的防御層都到位。防御此類攻擊需要多層次的保護(hù)。關(guān)鍵是盡可能讓攻擊者難以突破，同時(shí)不要依賴任何單一的安全措施來保護(hù)你的組織。

不要在網(wǎng)站上公開列出所有員工的電子郵件地址，可以改用網(wǎng)頁表單代替。

定期掃描互聯(lián)網(wǎng)，檢查是否有暴露的電子郵件地址和/或憑證。你不是第一個(gè)在犯罪或色情網(wǎng)站上發(fā)現(xiàn)自己用戶的用戶名和密碼的人。

絕不通過電子郵件發(fā)送敏感的個(gè)人信息。如果你收到要求提供此類信息的郵件，要保持警惕。如果有疑問，應(yīng)直接聯(lián)系信息來源。

教育用戶避免在社交媒體上過度分享個(gè)人信息。網(wǎng)絡(luò)犯罪分子知道的越多，他們在編寫魚叉式釣魚郵件時(shí)就越能讓郵件看起來更真實(shí)、可信。

用戶是你最后的防線！他們需要接受新型的安全意識(shí)培訓(xùn)，并經(jīng)常參與模擬釣魚攻擊，以保持警覺，將安全放在首位。我們KnowBe4提供全球最大的安全意識(shí)培訓(xùn)內(nèi)容庫，并結(jié)合最佳的模擬釣魚測試，無論是事前還是事后。由于91%的成功攻擊是通過魚叉式釣魚進(jìn)入的，這樣的培訓(xùn)將帶來極高的投資回報(bào)率，并能提供可見的培訓(xùn)效果證明。

五、KnowBe4免費(fèi)釣魚測試資源

1.釣魚安全測試

KnowBe4為我們提供免費(fèi)的釣魚安全測試，通過這種測試，您可以清晰地評估員工的釣魚識(shí)別能力，了解可能的安全漏洞，并將測試結(jié)果作為改進(jìn)安全培訓(xùn)和爭取預(yù)算的依據(jù)。以下是釣魚安全測試的工作流程：

隨時(shí)啟動(dòng)測試，最多覆蓋100個(gè)用戶（無需與任何人溝通）。

適應(yīng)20多種語言，并根據(jù)您的環(huán)境自定義釣魚測試模板。

選擇用戶點(diǎn)擊后看到的登錄頁面，可以是培訓(xùn)頁面，也可以是404頁面，幫助提醒用戶注意到安全漏洞。

展示用戶忽略的紅旗或錯(cuò)誤信息，幫助他們了解哪些釣魚特征未被識(shí)別。

在24小時(shí)內(nèi)將包含釣魚易感性百分比和圖表的PDF發(fā)送到您的郵箱，方便與管理層分享。

查看您的組織與同行業(yè)其他公司相比的釣魚易感性。

釣魚易感性百分比通常高于預(yù)期，這是為安全預(yù)算爭取支持的有力證據(jù)。

2.域名欺騙測試

您是否知道，黑客通常會(huì)偽造公司CEO的電子郵件地址，發(fā)起“CEO欺詐”或魚叉式釣魚攻擊？一旦成功，突破企業(yè)網(wǎng)絡(luò)防御變得輕而易舉，可能導(dǎo)致重要信息泄露，甚至更大的安全威脅。

通過KnowBe4域名欺騙測試，您可以檢測組織域名是否存在被偽造的風(fēng)險(xiǎn)，發(fā)現(xiàn)潛在漏洞并提前采取防護(hù)措施。這不僅能防止域名偽造攻擊和CEO欺詐，還能提升員工警覺性，確保及時(shí)識(shí)別偽造郵件，全面提升企業(yè)安全防御能力。

魚叉式網(wǎng)絡(luò)釣魚精準(zhǔn)且隱蔽，不僅竊取敏感信息，還可能癱瘓整個(gè)網(wǎng)絡(luò)，給企業(yè)帶來難以估量的損失。KnowBe4通過免費(fèi)釣魚測試和安全意識(shí)培訓(xùn)，幫助企業(yè)識(shí)別風(fēng)險(xiǎn)、提升員工警覺性，有效防范攻擊。聯(lián)系我們，免費(fèi)試用釣魚測試工具，守護(hù)您的企業(yè)安全，從現(xiàn)在開始！

審核編輯 黃宇