酷应用

安全意识测试之邮件钓鱼，你上钩了吗？

百家作者：绿盟科技 2020-01-07 11:16:28

记一次真实的邮件钓鱼演练。

邮件钓鱼的测试最终结果出来了，公司所有部门（除了策划钓鱼测试的IT部）都有上钩的员工。领导在企业微信里强调，让大家重视起来，不能在一个地方摔倒两次。

和我邻座的小A，至今在懊悔。怎么那天就鬼使神差的点击了邮件的链接，并且傻乎乎的填写了登录账号和密码。

我内心窃喜，心里默默地把个人安全等级从及格调到良好。上当的同事，很懊恼，关键时候掉链子，太大意了。有个地缝恨不得让始作俑者钻进去。大家议论，策划者老周，看他平时笑呵呵很慈祥，其实满肚子......墨水。为企业内部安全和员工安全意识提升出谋划策，贡献良多。

有个小插曲，差点打乱测试节奏。有同事比较敏感，怀疑是一封钓鱼邮件，在企微里发了邮件的截图。此时，没有打开邮件的同事看到了，就可能会加强警戒。当然，对于策划者来说，这就尴尬了。确认是钓鱼邮件，测试员工安全意识的结果会有折扣；不确认，是工作失职。最后，他们决定打个马虎眼，说要调研一下，暂时搪塞过去。好在这条消息迅速淹没了，策划者虚惊一场。

领导指示大家，最近要”提高警惕，谨言慎点”，提高保密意识，切勿泄漏商业机密，邮件中的链接，点击之前需三思。防火防盗防钓鱼。

钓鱼邮件的现状

钓鱼邮件善于利用人们的心理。社会热点事件、节假日、双十一血拼，这些时间点，是钓鱼邮件传播的高峰期。

邮件的来往还是企业间沟通的主要方式。虽然微信早已普及，但正式的函件合同等，还是以邮件为主。有些金融机构，只有邮件是和外界沟通的渠道，也是安全风险的主要来源。

发送钓鱼邮件，是一种普遍的社会工程学攻击。2017年Verizon发布的数据泄漏调查报告中，有高达66%的数据泄漏事件和钓鱼邮件相关。2019年，Proofpoint公司发布的钓鱼邮件报告显示，83%的信息安全受访者遇到过钓鱼邮件。

防御钓鱼邮件的道路上，道阻且长。人的安全意识，怎么强调都不为过。然而强大的思维惯性，行为习惯等很难更改。

钓鱼邮件的攻击类型

在攻击者眼里，钓鱼邮件，是最为有效和简单易行的攻击方式。有两种目的的钓鱼邮件。

其一，广撒网型。发送大量的钓鱼邮件，愿者上钩。攻击者用这种方式，获取银行账号和密码，社交账号和密码，然后在利用这些机密再去实施后续的攻击。比如，攻击者构造一个钓鱼网站，和正式的网站一样。钓鱼邮件里面，带上这个网址URL，诱导点击。知名的购物网站，社交网站，银行网站，常常是假冒网站的目标。

图：假冒苹果的钓鱼网站

此外，攻击者还利用钓鱼邮件，散播恶意软件或勒索软件，安装木马。比如，WannaCry这个勒索软件，最为开始的传播方式，就是利用了钓鱼邮件，令受害者点击下载，再通过局域网扫描，发现存在漏洞的主机感染传播，最终，导致全球范围内大规模感染。

其二，鱼叉攻击。这是高级持续性威胁APT的一种渗透方式。攻击者针对具体的目标，有针对性的构造邮件，发送的目标也是挑选的。邮件或者带有附件，或者是恶意URL，受害者打开附件或者点击链接后，植入木马后被控制。通常是以长期的潜伏，窃取机密情报为目的。

钓鱼邮件的防范实践

钓鱼邮件的防范，需要技术手段和提高员工识别能力上两手抓，两手都要硬。

技术措施

1. 邮件来源认证措施

主要通过SPF、DKIM、DMARC 这三个安全协议实现。SPF(Sender Policy Framework)，通过配置DNS实现，告诉邮件接收者发件域对应的IP地址或者地址段，只有此IP能以我们的域名发邮件，收件服务器可据此核实发件服务器是否是本尊。

DKIM（DomainKeys Identified Mail），通过配置DNS和邮件应用实现，发件方在邮件头中添加私钥加密的数字签名，收件方通过DNS查询获得公钥信息验证签名，验签不通过的就是骗子。

DMARC（Domain-based Messaging,

Authentication, Reporting and Conformance standard），通过配置DNS实现，告诉收件方SPF或DKIM检测未通过时如何处理，如拒收、隔离、标记为骗子等。

2. 借助威胁情报过滤邮件

多数威胁情报厂商都有钓鱼威胁情报分类，包含各类钓鱼链接、钓鱼发件人、发件域等信息。通过云端情报中心实时收集最新的钓鱼情报并分发给用户侧的检测防御设备，用户侧依据情报快速过滤已被标记的钓鱼邮件，可有效应对各类广撒网类型的钓鱼攻击。如绿盟科技NTI威胁情报中心，可分发钓鱼链接情报给本地IDPS/FW等设备，实现对网络中钓鱼邮件的检测与过滤。

3.基于邮件内容的过滤

传统邮件邮件网关/反垃圾邮件产品的必备技能，通过对邮件标题、正文中的内容进行分析，判断是否有钓鱼嫌疑。可以基于简单的正则匹配规则，如钓鱼高频字匹配，命中即告警；也可以通过复杂的机器学习算法实现，如采用贝叶斯分类算法，从大量的钓鱼邮件样本中提取特征训练分类模型。基于内容的过滤也是检测各类广告、营销类垃圾邮件的主要手段。

4. 邮件沙箱分析过滤未知恶意附件和URL

沙箱是利用虚拟化技术在模拟环境中对可疑的文件/URL进行动态分析，通过观察分析对象的行为判断是否存在威胁。沙箱也可以用于对威胁邮件的检测，通过对邮件正文中的URL以及附件的动态分析，发现隐藏的攻击行为。如绿盟科技TAC-E邮件高级威胁防护系统，MTA部署不受传输加密限制，集成NTI情报检测、病毒检测、静态检测、沙箱动态检测以及基于邮件内容的检测能力，可有效检测和防御钓鱼及各类邮件高级威胁。

提高员工鉴别能力

1.持续的安全意识培训

钓鱼邮件的识别和处理，需要有针对性的开展持续的安全意识培训。可以考虑一些不同以往的形式来传递培训内容。就像楼道里面消防的张贴画一样，现在电梯口贴满了可怕的火灾现场图片，警告人们要注意电动车充电。对钓鱼邮件的轻视，可能造成严重后果。

还要告知员工，发现可疑邮件，要及时上报给相关人员。管理员可以在第一时间作出响应，在邮件服务器上清除钓鱼邮件，并发送告警通知，消除风险。

2.钓鱼邮件测试

钓鱼邮件测试，是员工安全意识一次考试。可以评估组织内安全意识尤其是对钓鱼邮件识别的现状，为后面持续的培训以及技术手段提供支撑。与安全意识培训一样，钓鱼邮件测试也需要持续的进行。

最后的想法

时钟拨回到38年前1982年， RFC821定义了SMTP协议，即简单邮件传输协议的规范。尽管后续增加了一些补充规范，不过是修修补补，这是邮件安全老大难的根本原因。企业间的沟通，只要还使用这个协议，钓鱼邮件的社会工程就会一直存在。

技术上的检测和隔离，邮件来源认证能够过滤掉大部分钓鱼邮件。漏网之鱼，还需要邮件接收者警惕。

回到最初的故事，假如您在钓鱼邮件测试中招，不必感到羞愧。相反，吃一堑，长一智，后面若是有真正钓鱼邮件，难逃您的慧眼。