基本概念
“網(wǎng)絡釣魚”是上世紀90年代中期興起的一種網(wǎng)絡詐欺行為����,其中最主要的攻擊手段就是“釣魚郵件”����。1996年首先在美國發(fā)現(xiàn),后迅速擴散到其他國家和地區(qū)�。近幾年,“釣魚郵件”攻擊在我國呈現(xiàn)逐年上升�,最常見的一種方式是:攻擊者預先制作一個以假亂真的釣魚網(wǎng)站,然后通過在電子郵件中植入釣魚網(wǎng)站鏈接����,引誘人們點擊進入以假亂真的網(wǎng)站,騙取用戶名�、密碼、個人信息等重要數(shù)據(jù)�����,或植入木馬等惡意程序,從而導致遭受重大損失���。該攻擊方式往往包含社會工程學信息��,欺騙性很強,人們很容易上當受騙���。那么���,什么是釣魚郵件?如何識別釣魚郵件?中招了怎么辦?
(一)什么是釣魚郵件
釣魚郵件是指攻擊者偽裝成同事、合作伙伴���、朋友�、家人等用戶信任的人���,通過發(fā)送電子郵件的方式���,誘使用戶點擊嵌入郵件正文的惡意鏈接或者打開郵件附件的惡意程序,進而竊取用戶敏感數(shù)據(jù)�、個人銀行賬戶、郵箱賬戶和密碼等信息����,或者在設備上執(zhí)行惡意代碼以實施進一步的網(wǎng)絡攻擊活動��。
(二)釣魚郵件的危害
釣魚郵件通過隱含的惡意鏈接或附帶的惡意程序����,竊取用戶重要個人信息或政府企業(yè)敏感信息�����,可能造成直接或間接經(jīng)濟損失��,甚至危害國家安全����。
三、釣魚郵件主要攻擊方式
攻擊者通過釣魚郵件達成攻擊目的主要有兩種方式���,第一種通過冒充權威機構或者與收件人有關聯(lián)系人發(fā)送郵件��,降低收件人戒心�����,提高打開釣魚郵件可能性�����;第二種通過利用社會工程學或者暴力破解方式直接獲得目標收件人郵箱賬號憑據(jù)�����,之后收集目標收件人郵箱信息�。從攻擊手法來看����,釣魚郵件前期需要對目標收件人進行信息收集,通過社會工程學引導�����,利用人性弱點��,提高收件人對釣魚郵件的信任度����,誘導收件人點擊釣魚郵件中的惡意附件或惡意鏈接。
(一)通過社會工程學提高信任度
釣魚郵件常常通過偽裝身份發(fā)送電子郵件的方式進行�,其偽裝的身份包括但不限于:上級領導或上級單位、組織的信息網(wǎng)絡管理人員�����、同事、有工作往來的其他組織的人員����、銀行、社保服務等外部服務����,其目的主要是為了騙取收件人的信任,使其相信郵件內容的真實性�,并按照郵件內容進行操作,從而達到其目的�����。如下圖所示����,其偽裝成系統(tǒng)管理員騙取收件人的信任:
圖1偽裝成系統(tǒng)管理員的釣魚郵件
釣魚郵件會通過話術,進一步引導收件人填寫內容�����。如下方釣魚郵件��,主題為“紀檢委:通知”,郵件附件打開后顯示一個表格�,但是內容非常模糊無法識別,文檔下方提示“如看不清圖片內容請復制鏈接到瀏覽器登錄查看詳情”���,進一步引導用戶復制釣魚鏈接打開惡意網(wǎng)站�����,從而達到收集用戶賬戶密碼的目的�。
圖2冒充紀檢委通知的釣魚郵件
圖3某釣魚郵件正文
攻擊者還可能利用普通人對個人信息保護觀念的缺失和人性弱點進行誘導�����。如給老年人發(fā)打折促銷返券鏈接��,給信用卡用戶發(fā)提升額度或兌獎鏈接等����。如圖是主題為“【財政部】關于發(fā)布年終最新工資補貼通知”的釣魚郵件(如圖3)��,通過使用具有吸引力的“補貼”為主題�,利用用戶對金錢的重視,達到攻擊目的�。
圖4利用二維碼掩飾釣魚鏈接
收件人掃碼后���,就會跳轉到釣魚頁面,誘導用戶填寫銀行卡號���、身份證號��、手機號等敏感信息����,攻擊者之后會利用這些信息發(fā)起轉賬請求����,通過受害者輸入銀行發(fā)來的驗證碼,攻擊者就可以完成相關的轉賬操作�����,成功實施詐騙����。
圖5釣魚頁面收集受害人銀行卡驗證碼
釣魚郵件主題和內容還會限定事件時間、數(shù)量�����,從而制造緊迫感,引導收件人回復或參與活動���,如“緊急通知”��、“前1003折先到先得”����、“報名時間截止XX����,過時不候”、“在X點前完成密碼重置”等等���。圖5釣魚郵件以“緊急通知”為主題���,并警告用戶如果不按要求進行操作賬號將不能使用����,制造事件的緊迫感,壓榨收件人謹慎思考的時間����,促使收件人迅速采取行動�。如果收件人點擊釣魚郵件正文中的“升級審核”��,將會跳轉至攻擊者特制的釣魚頁面�����,從而收集用戶的相關賬號憑據(jù)�,對用戶造成損失。
圖6釣魚郵件利用話術引導受害者點擊
(二)利用第三方信譽降低受害者戒心
釣魚郵件通常會偽裝成具有公信力的第三方機構���,以此降低用戶戒心��。例如冒充國家機構���、公信機構(公安、公積金中心���、社保中心����、銀行����、購物網(wǎng)站等)���;冒充官方機構的機構(如大學生對考研、公務員培訓�����、資格認證�、簡歷求職等方向有需求);冒充管理方(如企業(yè)內郵箱管理員���、郵箱服務商等)�����。釣魚郵件還會通過偽裝或爆破某個人郵箱給熟人發(fā)釣魚郵件��,例如偽裝成目標用戶的領導�、朋友����、親人��、客戶等等��。或者通過直接獲取目標收件人有關聯(lián)系人的郵箱賬號�����,借此發(fā)釣魚郵件�����,降低收件人的戒心��,從而達到攻擊目的��。圖6的釣魚郵件偽裝為具有公信力的機構�����,并在正文內容使用“最后”�����、“終止”等字眼�����,試圖通過制造緊迫感來促使收件人采取行動,如果點擊釣魚郵件正文內容中的選項��,將跳轉至惡意網(wǎng)頁��,攻擊者將對用戶信息進行收集���。
圖7釣魚鏈接利用話術引導受害者點擊
圖7釣魚郵件首先使用“電郵安全警報”標題����,提高收件人閱讀的緊迫感�����,其次冒充電子郵件服務商���,降低用戶防備心�。在郵件中要求用戶在24小時內回復�����,如果未經(jīng)驗證���,將關閉收件人電子郵件賬戶�,制造事件緊迫感,促使收件人迅速對郵件做出回應���。如果點擊釣魚郵件正文鏈接,則會跳轉至釣魚網(wǎng)頁���,并被要求輸入賬號密碼���,從而達到竊取目標用戶賬號目的。
圖8釣魚郵件冒充電郵提供商
(三)攻擊者攻陷上游管理方
上游管理機構一般都有安全方案和安全措施����,但由于其特殊性,也有成為攻擊者目標的可能性�,雖然目前這種案例數(shù)量并不多,但造成的危害更大��。如果目標賬戶上游管理方被攻擊淪陷���,也可能被利用來發(fā)送釣魚郵件�����,例如:公司郵件服務器淪陷���,郵箱服務商淪陷����,DNS解析服務器淪陷等�����,攻擊者直接利用淪陷賬號發(fā)送釣魚郵件���,就能更加容易達到其攻擊目的���。
