企業中對釣魚郵件的攻擊危害研究及安全意識提升

馮雅平 楊陽 尹琴 馮磊 李寧

（國網思極網安科技（北京）有限公司，北京 100000）

一、引言

隨著全球信息網絡化的發展，網絡安全形勢日益嚴峻，網絡攻擊國家化的趨勢明顯。國家互聯網應急中心（CNCERT）發布的互聯網網絡安全態勢綜述中報告，2019 年CNCERT 監測到重要黨政機關部門遭受釣魚郵件攻擊數量達50 多萬次，月均高達4.6 萬封，重大活動和敏感時期釣魚郵件的情況則更為猖獗。在黑客眾多的攻擊手法中，釣魚郵件成為最常用、最便捷的攻擊方式。信息安全關乎經濟發展、社會穩定、國家安全、企業利益等，而對一個企業來說，信息安全問題以及對信息的安全管理都是重中之重的。

（一）釣魚郵件概念及危害分析

1.基本概念

釣魚郵件指利用偽裝的電子郵件，里面包含了非法的鏈接地址或者非法的圖片，點擊里面的鏈接或者打開圖片，就會跳轉到黑客指定好的釣魚頁面上，欺騙收件人將賬號、口令等信息提交在網頁上；這些頁面通常會偽造成和真實網站一樣，如銀行或理財的頁面，讓登錄用戶信以為真，將自己的信用卡或銀行卡號碼、賬戶名稱及密碼等重要隱私信息輸入到網頁上。從而提交給黑客。

2.危害分析

釣魚郵件的主要目的是要劫財，在網絡釣魚郵件隱藏著兩種危害方式：其一是企業員工的郵箱用戶未察覺出郵件內容中鏈接的假網銀、假網站、病毒附件等，就貿然輸入了企業賬戶的賬戶和密碼等重要隱私信息，導致了企業資產的損失。其二是企業員工發覺出了釣魚郵件中所包含鏈接的假網銀、假網站、病毒附件等，雖然這次的直接損失可以避免。但在這些假網站中都隱藏了事先準備好的木馬程序或間諜程序。若電腦防御功能不足，在點擊鏈接后，電腦就會被木馬或間諜程序入侵。從而給企業或網絡用戶造成重大的經濟損失。

（二）釣魚郵件主流攻擊方式

1.郵件正文內容中插入了惡意鏈接

這是一種最基礎的攻擊方式，就是在郵件正文中放入一個惡意誘導鏈接，等待用戶進行點擊，鏈接后面是一個偽造的網站，可能是一個惡意程序下載鏈接或者一個用于偽造的登錄入口等。

攻擊者會利用一些近期一些熱點事件或者公司內部信息如疫情、產品介紹、系統賬號升級等，以提高內容可信度，誘導用戶點擊鏈接。而惡意鏈接部分也進行偽裝。常見的偽造方式如下：

短鏈接、使用html 標簽隱藏、近似的URL、子域名等

第一，郵件附件藏毒

此類也是常見的一種，攻擊者的payload 含在郵件附件里，載體有直接的文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等。

第二，利用軟件漏洞攻擊

此類做法主要是使用郵件進行投遞攻擊武器，武器本身利用了郵箱、客戶端軟件如瀏覽器、office、系統等本身的漏洞，此類攻擊需要配合操作系統/瀏覽器的 0day 或者 Nday，而且需要對攻擊者使用的終端應用軟件進行比較精準的識別，因此攻擊成本較高，但是最終的效果還是很不錯的，如利用郵箱的xss 漏洞獲取了大量員工郵箱賬戶cookie 信息。

第三，利用郵件協議漏洞攻擊

主要利用了郵箱本身安全設置問題，若郵箱地址沒有設置spf，那么就會有人假冒真實域名發送郵件。使用swaks 可以非常簡單的向目標發送一封偽造的釣魚郵件。

其一，郵件發件人身份”偽造”

這里面偽造筆者使用了引號，因為這個偽造可能是使用真實的發件人郵箱身份，如攻擊者通過一些方式竊取了一些真實可信的郵箱身份。使用偽造的真實可信的郵箱內容進行欺騙。

其二，釣魚郵件實戰模擬演練統計

我們在2021 年1 月份首次使用釣魚演練平臺對某公司內網利用上述的釣魚郵件攻擊方式。總計對企業中的20W 名員工進行釣魚模擬演練。

其三，釣魚郵件模擬演練準備

收集20W 員工的郵箱信息導入到演練平臺中。在創建演練活動中需要進行選擇。

準備釣魚郵件模板，模板內容包括安全警告、休假調整、疫情防控政策等模板內容，吸引員工打開和點擊釣魚鏈接。

事先將準備好的釣魚郵件警告圖片插入到網頁中。員工打開鏈接時，警告員工已經打開了釣魚網站，風險增加。

準備管理員或者其他領導的近似郵箱域名。以混淆真實發件人域名。

以上內容準備好后，發起釣魚活動，即可進行演練。

其四，整體數據統計

這次釣魚模擬演練我們一共發送了郵箱總數202081 個，發送成功了201321封釣魚郵件，在持續1周結束演練后將數據導出，得到了以下統計結果。

從以上統計結果可以看到，再沒有做任何演練和培訓的情況，企業員工中釣魚郵件打開數有57420 封，占比28.52%。釣魚連接點擊數有10857 人，占比18.91%。可以看出大部分員工對于釣魚郵件是疏于防范或沒有防范的。因此造成企業損失的風險會急劇上升。

有時候我們需要根據每個郵件主題進行統計，以對企業下發的郵件主題內容做出高度防范和警惕，我們根據郵件主題導出了以下數據統計結果。

從以上統計結果可以看到，其中疫情防控政策的郵件主題是打開占比和點擊占比最高的，打開占比達到了47.60%，點擊占比達到了26.12%。因當今社會下新冠肺炎疫情關系著每個人的生活，由此看出企業員工對此主題的關注度很高。若黑客利用同樣的方式對企業員工進行郵件釣魚。后果將會不堪設想。

二、企業員工對釣魚郵件的安全意識提升

企業內部的釣魚郵件模擬攻擊測試，對提升企業以及員工的安全意識有很大的幫助，對企業和企業員工來說都是一次很好的釣魚郵件安全檢驗。

企業員工針對釣魚郵件的防范措施如下：

（一）不輕信發件人地址中所顯示的發件人。因為發件人實際上是可以隨便設置。要謹慎檢查發件郵箱的全稱。

（二）不要輕易點開陌生郵件的鏈接。

（三）不放松對“熟人”郵件的警惕。

（四）不在公共場所鏈接陌生網絡執行敏感操作。

（五）不隨意在網站上留下郵箱賬號和密碼信息。

（六）不建議使用簡單的弱密碼，并養成定期修改密碼的習慣。

（七）開啟手機驗證碼服務。登錄需要手機驗證才可以登錄。

（八）郵件服務器管理員后臺設置IP 登錄限制。如只允許在其中某一個國家或者地區操作。

（九）檢查郵箱是否有異常設置、如自動轉發、登錄查詢、來信分類等。如果有的話，建議取消或者修改小關設置。