企業(yè)中對釣魚郵件的攻擊危害研究及安全意識提升

馮雅平 楊陽 尹琴 馮磊 李寧

（國網(wǎng)思極網(wǎng)安科技（北京）有限公司，北京 100000）

一、引言

隨著全球信息網(wǎng)絡化的發(fā)展，網(wǎng)絡安全形勢日益嚴峻，網(wǎng)絡攻擊國家化的趨勢明顯。國家互聯(lián)網(wǎng)應急中心（CNCERT）發(fā)布的互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述中報告，2019 年CNCERT 監(jiān)測到重要黨政機關部門遭受釣魚郵件攻擊數(shù)量達50 多萬次，月均高達4.6 萬封，重大活動和敏感時期釣魚郵件的情況則更為猖獗。在黑客眾多的攻擊手法中，釣魚郵件成為最常用、最便捷的攻擊方式。信息安全關乎經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全、企業(yè)利益等，而對一個企業(yè)來說，信息安全問題以及對信息的安全管理都是重中之重的。

（一）釣魚郵件概念及危害分析

1.基本概念

釣魚郵件指利用偽裝的電子郵件，里面包含了非法的鏈接地址或者非法的圖片，點擊里面的鏈接或者打開圖片，就會跳轉到黑客指定好的釣魚頁面上，欺騙收件人將賬號、口令等信息提交在網(wǎng)頁上；這些頁面通常會偽造成和真實網(wǎng)站一樣，如銀行或理財?shù)捻撁妫尩卿浻脩粜乓詾檎?，將自己的信用卡或銀行卡號碼、賬戶名稱及密碼等重要隱私信息輸入到網(wǎng)頁上。從而提交給黑客。

2.危害分析

釣魚郵件的主要目的是要劫財，在網(wǎng)絡釣魚郵件隱藏著兩種危害方式：其一是企業(yè)員工的郵箱用戶未察覺出郵件內容中鏈接的假網(wǎng)銀、假網(wǎng)站、病毒附件等，就貿然輸入了企業(yè)賬戶的賬戶和密碼等重要隱私信息，導致了企業(yè)資產(chǎn)的損失。其二是企業(yè)員工發(fā)覺出了釣魚郵件中所包含鏈接的假網(wǎng)銀、假網(wǎng)站、病毒附件等，雖然這次的直接損失可以避免。但在這些假網(wǎng)站中都隱藏了事先準備好的木馬程序或間諜程序。若電腦防御功能不足，在點擊鏈接后，電腦就會被木馬或間諜程序入侵。從而給企業(yè)或網(wǎng)絡用戶造成重大的經(jīng)濟損失。

（二）釣魚郵件主流攻擊方式

1.郵件正文內容中插入了惡意鏈接

這是一種最基礎的攻擊方式，就是在郵件正文中放入一個惡意誘導鏈接，等待用戶進行點擊，鏈接后面是一個偽造的網(wǎng)站，可能是一個惡意程序下載鏈接或者一個用于偽造的登錄入口等。

攻擊者會利用一些近期一些熱點事件或者公司內部信息如疫情、產(chǎn)品介紹、系統(tǒng)賬號升級等，以提高內容可信度，誘導用戶點擊鏈接。而惡意鏈接部分也進行偽裝。常見的偽造方式如下：

短鏈接、使用html 標簽隱藏、近似的URL、子域名等

第一，郵件附件藏毒

此類也是常見的一種，攻擊者的payload 含在郵件附件里，載體有直接的文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等。

第二，利用軟件漏洞攻擊

此類做法主要是使用郵件進行投遞攻擊武器，武器本身利用了郵箱、客戶端軟件如瀏覽器、office、系統(tǒng)等本身的漏洞，此類攻擊需要配合操作系統(tǒng)/瀏覽器的 0day 或者 Nday，而且需要對攻擊者使用的終端應用軟件進行比較精準的識別，因此攻擊成本較高，但是最終的效果還是很不錯的，如利用郵箱的xss 漏洞獲取了大量員工郵箱賬戶cookie 信息。

第三，利用郵件協(xié)議漏洞攻擊

主要利用了郵箱本身安全設置問題，若郵箱地址沒有設置spf，那么就會有人假冒真實域名發(fā)送郵件。使用swaks 可以非常簡單的向目標發(fā)送一封偽造的釣魚郵件。

其一，郵件發(fā)件人身份”偽造”

這里面?zhèn)卧旃P者使用了引號，因為這個偽造可能是使用真實的發(fā)件人郵箱身份，如攻擊者通過一些方式竊取了一些真實可信的郵箱身份。使用偽造的真實可信的郵箱內容進行欺騙。

其二，釣魚郵件實戰(zhàn)模擬演練統(tǒng)計

我們在2021 年1 月份首次使用釣魚演練平臺對某公司內網(wǎng)利用上述的釣魚郵件攻擊方式。總計對企業(yè)中的20W 名員工進行釣魚模擬演練。

其三，釣魚郵件模擬演練準備

收集20W 員工的郵箱信息導入到演練平臺中。在創(chuàng)建演練活動中需要進行選擇。

準備釣魚郵件模板，模板內容包括安全警告、休假調整、疫情防控政策等模板內容，吸引員工打開和點擊釣魚鏈接。

事先將準備好的釣魚郵件警告圖片插入到網(wǎng)頁中。員工打開鏈接時，警告員工已經(jīng)打開了釣魚網(wǎng)站，風險增加。

準備管理員或者其他領導的近似郵箱域名。以混淆真實發(fā)件人域名。

以上內容準備好后，發(fā)起釣魚活動，即可進行演練。

其四，整體數(shù)據(jù)統(tǒng)計

這次釣魚模擬演練我們一共發(fā)送了郵箱總數(shù)202081 個，發(fā)送成功了201321封釣魚郵件，在持續(xù)1周結束演練后將數(shù)據(jù)導出，得到了以下統(tǒng)計結果。

從以上統(tǒng)計結果可以看到，再沒有做任何演練和培訓的情況，企業(yè)員工中釣魚郵件打開數(shù)有57420 封，占比28.52%。釣魚連接點擊數(shù)有10857 人，占比18.91%?？梢钥闯龃蟛糠謫T工對于釣魚郵件是疏于防范或沒有防范的。因此造成企業(yè)損失的風險會急劇上升。

有時候我們需要根據(jù)每個郵件主題進行統(tǒng)計，以對企業(yè)下發(fā)的郵件主題內容做出高度防范和警惕，我們根據(jù)郵件主題導出了以下數(shù)據(jù)統(tǒng)計結果。

從以上統(tǒng)計結果可以看到，其中疫情防控政策的郵件主題是打開占比和點擊占比最高的，打開占比達到了47.60%，點擊占比達到了26.12%。因當今社會下新冠肺炎疫情關系著每個人的生活，由此看出企業(yè)員工對此主題的關注度很高。若黑客利用同樣的方式對企業(yè)員工進行郵件釣魚。后果將會不堪設想。

二、企業(yè)員工對釣魚郵件的安全意識提升

企業(yè)內部的釣魚郵件模擬攻擊測試，對提升企業(yè)以及員工的安全意識有很大的幫助，對企業(yè)和企業(yè)員工來說都是一次很好的釣魚郵件安全檢驗。

企業(yè)員工針對釣魚郵件的防范措施如下：

（一）不輕信發(fā)件人地址中所顯示的發(fā)件人。因為發(fā)件人實際上是可以隨便設置。要謹慎檢查發(fā)件郵箱的全稱。

（二）不要輕易點開陌生郵件的鏈接。

（三）不放松對“熟人”郵件的警惕。

（四）不在公共場所鏈接陌生網(wǎng)絡執(zhí)行敏感操作。

（五）不隨意在網(wǎng)站上留下郵箱賬號和密碼信息。

（六）不建議使用簡單的弱密碼，并養(yǎng)成定期修改密碼的習慣。

（七）開啟手機驗證碼服務。登錄需要手機驗證才可以登錄。

（八）郵件服務器管理員后臺設置IP 登錄限制。如只允許在其中某一個國家或者地區(qū)操作。

（九）檢查郵箱是否有異常設置、如自動轉發(fā)、登錄查詢、來信分類等。如果有的話，建議取消或者修改小關設置。