钓鱼攻击分析

简介

Verizon 的《2020年数据泄露调查报告》显示，网络钓鱼仍是社会工 程和恶意软件最常用的攻击手段和载体。根据国内全网监测评估，2019 年， 全国企业邮箱用户共收到各类钓鱼邮件约 344.3 亿封，相比2018年收到各 类钓鱼邮件的204.3亿封增长了68.5%。2019年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的5.3%，平均每天约有0.9亿 封钓鱼邮件被发出和接收。

模版分类

URL 钓鱼
恶意附件钓鱼
二维码钓鱼

钓鱼邮件常见主题

1. 立即重置你的账户密码
   这样的钓鱼邮件主题行是十分凶险的，它利用了全世界职场人最常发生的事件：密码到期。
   确实，不管是企业统一的安全策略，还是自己设置的安全规则，我们有太多的账户密码设置了到期时间，90 天，180 天？可能你自己都忘记上次修改密码是什么时间了，这下好了，突然弹出一封电子邮件，并非常友好地提醒你“重要：立即检查并修改账户密码”，尤其在邮件的签名行还赫然写着企业的 IT 支持团队人员信息
2. 检测到你的账户异常
   迫切吗，紧急吗，危险吗？
   如果你收到这样的一封电子邮件，我想你一定会和我一样忐忑不安：老老实实、辛辛苦苦地工作了一天，却警告我账户异常。是我做了不该做的事情吗，还是我的账号被盗了？
3. 疫情期间薪资调整
   COVID-19（新冠病毒肺炎）在全球范围来势汹汹，波及了几乎所有职场人。相信每个人早上起来第一件事情，就是打开疫情专题，查看当下的数据变化，期待着拐点的到来。
   同时，我们也关注自己所处行业受疫情的影响，自己企业的生存和发展，工资和奖金能否保障，因为这与我们每个人的工作、生活息息相关。因此，如果来了这样的一封邮件，很难说不会打开其中的链接一探究竟。
4. 办公区重新开放时间通知
   随着 COVID-19（新冠病毒肺炎）在各地得到有效控制，我们的工作环境也逐渐常态化，很多企业的办公区、工厂也逐步开放。这对每位职场人而言绝对是好消息，否则原本面对面并肩奋战的同事，就真的快变成网友了。
   所以，收到这封电子邮件，你会不会迫切希望了解公司的新政策呢？
5. 本月薪资因故暂缓发放
   这又是一条和你息息相关的爆炸性信息。
   企业中的财务部门应该像运转良好的机器一样持续运行，这就是为什么工资延迟发放可能会使急于了解更多情况的员工感到沮丧。是企业经营不善吗，还是其他什么原因？
   每位员工都希望寻求这个合理的解释，并得到满意的答案。
6. 员工加薪或奖励通知
   任何提及薪水或奖金奖励的事情肯定会引起员工注意，从年度加薪，到假日奖金，我们无不为之热血沸腾。
   但往往，这可能是攻击者伪造企业人力资源部门给你制造的一个大骗局。这类钓鱼攻击电子邮件中会附上链接或电子表格附件，声称详细说明了员工的工资增长。不幸的是，该链接会吸引你登录一个欺骗性页面，并收集你的账户信息。而唯一一个带着加薪离开的人，是骗子！
   随着加薪的钓鱼攻击被越来越多的员工所警惕，攻击者也灵活地改变了思路：参加公司组织的某项活动吧，我给你金钱奖励。
7. 查看为你共享的文件
   许多企业使用基于文件共享的协作工具，以便同事之间可以实时共享、编辑、协作文件。
   不幸的是，文件附件是恶意攻击软件的常见媒介。在收到受感染附件的用户中，有 12% 的员工会点击打开它们。攻击者试图通过欺骗的电子邮件诱骗你下载文档，来传播受感染的文件；或者让你只有通过账户登录后，才可以访问这些文件。
8. 你错过了一个重要会议
   混合办公模式下，在线会议的数量也越来越多，每位员工都需要随时与同事、客户或合作伙伴积极讨论沟通，以确定下一步的工作计划。
   但是，由于时间冲突而错过某些会议，也实属难免。因此很多职场人都有一个优秀的习惯——会议结束后通过电子邮件发出会议纪要，或后续的讨论计划。而这个习惯，却被攻击者拿捏住了。
9. 邮箱满了，请尽快处理
   电子邮件几乎是每个职场人必不可缺少的沟通工具，当然，我们都知道，每个人的电子邮件空间不是无限大的，它受限于企业所采用的电子邮件服务，或企业 IT 管理员的空间分配策略。
   我想这是应该的，你的邮箱会有满的一天。所以，攻击者就开始尝试抓住这个机会。
10. 你的邮件因违规未发出
    每个企业都有自己的信息安全策略和合规审核规范，员工发出的电子邮件信息，同样需要遵从企业的安全合规性要求。如果不经意触碰了企业信息管理策略的红线呢？对，一定会收到来自企业信息安全部门的警告提醒。
    但，有时需要认真核对，这个警告是不是真的来自你的企业安全团队。
11. 合作类邮件
    企业的发展离不开合作。很多企业会在官网 放出合作信息，如供应商、代理商等，以合 作的名义进行钓鱼，如果邮件内容能够体现 “我司实力强劲且开出的条件足够有诚意”，对方很可能打开附件查看详细信息。
12. 特有业务
    利用目标站点的一些特有业务进行钓鱼， 如：
    针对政府部门， 可以利用监督举报、投诉 等业务，如“我是XxX，身份证号XXX，我 实名举报XXx”
    针对医疗行业，可以结合当下的新冠疫情， 如《关于x地区新冠变异毒株的报告》《x患 者流调报告》等。
    针对企业，可以发送产品试用申请、伪造 媒体发送采访申请等。
    针对高校，可以发送挂科补考名单、班级成绩单等。

钓鱼邮件的特征

1. 看发件人地址。如果是公司内的通知或工作邮件，发件人大多会使用公司专门的工作邮箱，如果是个人邮箱账号或者邮箱账号拼写异常，则需要提高警惕（如：authlng.cn、xxxx.com.cm）。或者看到发件地址显示有乱码及不明字符，或者发件地址较长。或者邮件的发件人账户名称是某机构，但地址栏中显示的却是某人的个人账号，如@163.com或者@qq.com，那么就极有可能是一封钓鱼邮件。

2. 看发件日期。无论是公司邮件，或是其它重要的通知类邮件，发件时间大多会在工作时间内，如果是在非工作时间，比如深夜、凌晨或者整点整分整秒等，则需要提高警惕。

3. 看邮件标题。大量钓鱼邮件主题关键字涉及“系统管理员”、“通知”、“系统升级”、“发票”、“会议日程”等近期热点词汇。收到此类关键词的邮件，需提高警惕。

4. 看正文措辞，对使用“亲爱的用户”、“亲爱的同事”等一些过于泛化，无法点名道姓的邮件保持警惕，对于一些制造紧张气氛、营造紧张气氛的措辞也要持怀疑态度，如要求“务必今日下班前完成”、“请立即单击此处”等，企图让人在慌乱中麻痹大意。

5. 看正文内容

• 称呼：对使用“亲爱的用户”等一些泛化问候的邮件应保持警惕。如果某个可信机构有必要联系你，他们应该会知道你的名字和信息。同样也要问问自己，该机构为什么会发邮件给你。
• 恐慌：对任何制造紧急氛围的邮件提高警惕，如要求“请在今日下班前务必完成升级操作”这是让人在慌忙之中犯错的惯用手段。如伪造漏洞补丁、弱口令自查、集团统一升级，并在邮件正文强调与绩效挂钩。
• 链接：当心邮件内容中需要点击的链接地址，若包含“&redirect”字段，很可能就是钓鱼链接；当心垃圾邮件的“退订”功能，有些垃圾邮件正文中的“退订”按钮可能是虚假的，点击之后可能会收到更多的垃圾邮件，或者被植入恶意代码。可以直接将发件人拉进黑名单，拒收后续邮件。钓鱼邮件使用短链接（例如http://t.cn/zWU7f71）或带链接的文字来迷惑用户。
• 附件：对附件保持警惕，在确认邮件可信之前一定不要点击附件。诸如 word、pdf、excel、PPT、rar、zip 等文件都可能植入木马或间谍程序，尤其是附件中直接带有后缀为 .exe、.bat、.vbs 的可执行文件或者不认识的其他后缀文件
• 索要登录口令、银行卡号、密码，以及身份证号、手机号等敏感个人信息
• 二维码

6. 邮件头分析

• From、X-SENDER：发件人
• To、X-FST-TO：收件人
• X-SENDER-IP：发件IP
• X-Mailer：异常特征 //一般有这个东西的都是钓鱼邮件

如何识别

专家规则

发件人地址、发件日期、邮件标题、正文内容
敏感词检测：AC自动机-多模式正则匹配

机器学习

在 Python 中使用机器学习来检测钓鱼链接-51CTO.COM
基于卷积神经网络的高精度网络钓鱼检测技术-安全客 - 安全资讯平台
INKY——基于机器学习的恶意邮件识别系统 - 安全牛
IsThisLegit+Phinn:采用了机器学习算法的开源网络钓鱼防御与检测工具-华盟网
邮件威胁感知系统-信创-奇安信

其他参考资料
这样的钓鱼邮件，要不是多看一眼，我就中招了
这 10 类主题的邮件，劝你谨慎看
一文搞懂“钓鱼邮件”
红蓝演习之网络钓鱼篇
钓鱼攻击 | 一图了解“高质量”黑客之钓鱼技术大揭秘
『工具使用』钓鱼平台 Gophish
钓鱼攻击 | 一图了解“高质量”黑客之钓鱼技术大揭秘