攻防實戰之如何識別釣魚郵件

?近幾年，社會工程學攻擊已經成為IT部門關注的重點，2021年網絡犯罪造成的破壞將讓全球每年損失6萬億美元；

?超過90％的黑客攻擊和數據泄露源于網絡釣魚詐騙；

?超過 60%的網絡攻擊的關鍵因素是“人的因素”。

?在信息傳輸、計算機服務和軟件業的釣魚基準測試，其中中招率為 43.61％。

?近幾年，各國 APT 組織的攻擊活動主要圍繞定制化的釣魚郵件，通過郵件中各類惡意附件文件達成攻擊目的。被廣泛使用的惡意附件類型可以包括文檔、快捷方式文件、html 文件等。

?整體而言，釣魚文檔存在易檢測、易攔截、易溯源的固有問題，但由于技術門檻較低、投入回報比較高，各國 APT 組織依然依靠惡意文檔提供基本面的攻擊能力，為更高精度的定向攻擊提供情報基礎。

一、攻防演練中的釣魚郵件

1.1 什么是釣魚郵件？

釣魚郵件是是一種網絡欺詐郵件，利用偽裝的電子郵件誘騙收件人訪問特制網站或點擊打開指定的文件，用于獲取收件人的賬號、密碼等敏感信息或獲取終端設備權限的社會工程學攻擊方式。

1.2 典型案例

?2022年4月中旬，搜狐員工收到以工資補貼相關的釣魚郵件。郵件附件是一個doc文檔，文件內容是“關于發布最新工資補貼通知，請打開附件查收！”

?打開word文檔后，要求員工掃描二維碼，掃描后會轉到釣魚鏈接：http://546a2cd984338f4ec6091d63c394be61.kjhdf.uno/。

?釣魚頁面內容仿冒“工資補貼”或“中國***在線認證中心”相關主題。

?用戶根據欺詐頁面引導進行操作后，被引導至個人銀行卡信息收集頁面，收集的信息包括銀行卡、姓名、身份證、手機號、有效期、CVN、信用額度、卡內余額等。

?用戶填寫信息后，會進行手機號短信或銀行卡驗證。

二、常見魚叉式釣魚攻擊

2.1 什么是魚叉式釣魚攻擊？

魚叉式釣魚（Spear phishing）是一種針對特定目標進行攻擊的網絡釣魚攻擊。對于魚叉式釣魚攻來說擊，防病毒和反垃圾郵件等傳統安全防御措施，以及電子郵件防護網關根本無法檢測并阻止該攻擊。從網絡罪犯的角度看，魚叉式網絡釣魚是各種破壞性攻擊的中最為理想的攻擊方式。攻擊者更加關注高管和其他具有管理員權限的雇員，誘使其啟動惡意軟件，進入公司內網環境。

2.2 魚叉式釣魚攻擊利用方式

魚叉式釣魚（Spear phishing）攻擊常見可利用的四個位置：郵件地址的仿冒、郵件內容的誘騙、隱藏鏈接的惡意跳轉、郵件附件的木馬免殺；

2.3 發起一次釣魚攻擊常見流程

三、實戰案例

釣魚網站-憑證竊取

附件免殺-獲取終端權限

網頁掛馬-獲取終端權限