作為網(wǎng)絡(luò)安全人員，我們都知道網(wǎng)絡(luò)釣魚。

發(fā)送欺詐性電子郵件以獲取財(cái)務(wù)詳細(xì)信息、獲取帳戶憑據(jù)或誘騙用戶安裝惡意軟件，這種做法并不新鮮。事實(shí)上，在互聯(lián)網(wǎng)廣泛使用之前，人們就會(huì)經(jīng)常收到一些信件，聲稱他們贏得了某種比賽并可以領(lǐng)取獎(jiǎng)品，受害者所要做的就是寄一些現(xiàn)金來支付運(yùn)費(fèi)。

那么，我們應(yīng)該都了解這些惡作劇的詭計(jì)。尤其是當(dāng)網(wǎng)絡(luò)釣魚電子郵件通常如下所示時(shí)：

現(xiàn)在，有幾個(gè)微妙的跡象表明這封電子郵件不是真實(shí)的。知情人士會(huì)立即意識(shí)到 HMRC 不負(fù)責(zé)支付市政稅。更重要的是，即使在這個(gè)緊縮時(shí)代，HRMC 也極不可能選擇 Hotmail 帳戶。

然而它仍然存在

然而，事實(shí)是，網(wǎng)絡(luò)釣魚因?yàn)樗行Ф^續(xù)存在。很少有人會(huì)為了好玩而花時(shí)間起草和發(fā)送這類信息。就目前而言，網(wǎng)絡(luò)釣魚（和其他類型的社會(huì)工程）通常是破壞網(wǎng)絡(luò)的最簡(jiǎn)單方法。無論您的網(wǎng)絡(luò)安全在技術(shù)和流程方面有多好，您永遠(yuǎn)無法擺脫人性的弱點(diǎn)。

“但是，與我共事的人都不會(huì)愚蠢到上當(dāng)受騙”。正如伏爾泰所說，“常識(shí)并不那么普遍。”?其次，我故意選擇了那個(gè)輕松的例子，因?yàn)槲矣X得異想天開，但現(xiàn)在是時(shí)候認(rèn)真起來了。

壞事做得好

在真正知道自己在做什么的人手中，網(wǎng)絡(luò)釣魚電子郵件可能對(duì)企業(yè)造成毀滅性打擊。這是將勒索軟件偷偷帶入公司網(wǎng)絡(luò)的第一方法。

精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚活動(dòng)可能非常復(fù)雜，遠(yuǎn)遠(yuǎn)超出了籠統(tǒng)的方法。知道自己在做什么的人真的會(huì)付出額外的努力，讓他們的惡意電子郵件看起來合法。在這方面，拼寫和語法是關(guān)鍵。笨拙的措辭和頻繁的拼寫錯(cuò)誤是一個(gè)即時(shí)的贈(zèng)品。在所有情況下，很多都?xì)w結(jié)為外表。成功的網(wǎng)絡(luò)釣魚電子郵件的另一個(gè)關(guān)鍵方面是精心研究。

有針對(duì)性的網(wǎng)絡(luò)釣魚

拼寫、語法和精心研究。黑客收集公共資源上的大量信息。您公司的網(wǎng)站很可能會(huì)免費(fèi)提供信息。例如，許多網(wǎng)站會(huì)有一個(gè)“關(guān)于我們”部分（或者更常見的是“認(rèn)識(shí)團(tuán)隊(duì)”部分），其中列出了一些關(guān)鍵人員及其在公司中的職位，甚至可能還有他們的電子郵件地址。如果您的網(wǎng)站沒有，那么 Linkedin 可能會(huì)有。

例如，一個(gè)站點(diǎn)可能帶有 IT 和基礎(chǔ)設(shè)施主管 Dave Smythe 的笑臉，以及聯(lián)系電子郵件。如果不是，黑客現(xiàn)在知道 Dave Smythe 是 IT 和基礎(chǔ)設(shè)施的負(fù)責(zé)人，然后可以從其他來源尋找詳細(xì)信息。

有了這封電子郵件，他們就可以設(shè)計(jì)出一條看起來合法的目標(biāo)消息，類似于可憐的老戴夫每天收到的那種電子郵件。由于收件箱異常繁忙，日程安排更加繁忙，Dave 可能不會(huì)理會(huì)一封禮貌的、來自一家所謂的技術(shù)公司的書面電子郵件，要求他“請(qǐng)查看隨附的您最近訂購的 X 訂單的發(fā)票”。只是，在打開上述發(fā)票后不久，他的電腦就會(huì)通知他，他的文件已被一種惡意的勒索軟件加密。

魚叉式網(wǎng)絡(luò)釣魚

更進(jìn)一步，利用這個(gè)電子郵件地址和可能的一個(gè)（或多個(gè)）其他地址，黑客可以沉迷于魚叉式網(wǎng)絡(luò)釣魚。使用一些技巧，惡意方可以欺騙他們的電子郵件，使其看起來好像來自 Dave，而 Dave 本周過得并不愉快。這樣做可以讓他們瞄準(zhǔn)公司內(nèi)的其他人。

黑客可以從很多方面來解決這個(gè)問題。他們可以針對(duì)財(cái)務(wù)部門的某個(gè)人，要求他們批準(zhǔn)向指定賬戶支付最新的 IT 采購費(fèi)用，從而騙取企業(yè)資金。然而，更可能的情況是利用 Dave 的職位來鼓勵(lì)其他員工通過惡意附件安裝惡意軟件，釣魚內(nèi)容可能如下：通知用戶，由于 IT 問題，你們應(yīng)該更改密碼。他甚至?xí)o他們有用的指導(dǎo)，告訴他們最好的方法。公司里每個(gè)人都信任 Dave，他是 IT 主管，所以沒有理由不關(guān)注他的鏈接……對(duì)吧？

設(shè)計(jì)之道

它不止于此。我敢肯定我們都收到過假冒“Apple”的人發(fā)來的消息，告訴我們出于某種原因需要通過提供的鏈接登錄我們的 iTunes 帳戶。即使您沒有 iTunes 帳戶。這是因?yàn)楹艽笠徊糠秩耸褂?iTunes 并習(xí)慣于定期收到與之相關(guān)的電子郵件。很有可能，人們實(shí)際上并沒有完整地閱讀電子郵件。

正確的設(shè)計(jì)和明顯的品牌甚至可以彌補(bǔ)糟糕的內(nèi)容?？赡苤恍枰陔娮余]件正文中的某個(gè)地方剪裁 Apple 徽標(biāo)就可以讓我們信服。那些被偽劣電子郵件說服的人不太可能質(zhì)疑網(wǎng)站證書，郵箱發(fā)件人這些關(guān)鍵信息。

一封具有欺騙性的品牌電子郵件。會(huì)提供一個(gè)鏈接。將鼠標(biāo)懸停在該鏈接上會(huì)顯示以下內(nèi)容：

現(xiàn)在，任何匆忙的人都不會(huì)考慮太多?？雌饋硭赡苁呛戏ǖ模谝环飧玫碾娮余]件中，這可能只有一半的說服力。這些鏈接的背后通常是另一半極具說服力的門戶網(wǎng)站或登錄頁面。像這樣例如：

信不信由你，這不是 Outlook 網(wǎng)絡(luò)應(yīng)用程序的門戶。它實(shí)際上是由我們的一名滲透測(cè)試人員偽造的（已經(jīng)刪除了完整的 URL）。他們甚至確保它是 HTTPS。它看起來像 Outlook，它甚至在左上角說“安全”，它是綠色的。但是輸入您的憑據(jù)，惡意方就可以隨時(shí)訪問您的網(wǎng)絡(luò)。

不再那么可笑了

因此，一封好的網(wǎng)絡(luò)釣魚電子郵件將構(gòu)造得很好，通常帶有品牌標(biāo)簽，并且看起來來自可靠的來源。它將包含一個(gè)令人信服的附件或指向精心設(shè)計(jì)的欺騙性頁面的鏈接。突然間，黑客有可能突破你所有的防御并造成一些嚴(yán)重的破壞。

我們都知道黃金法則“不要打開你不認(rèn)識(shí)或沒想到的人發(fā)來的附件”，但就像大多數(shù)規(guī)則一樣，這條規(guī)則常常被完全忽視。您的企業(yè)將收到網(wǎng)絡(luò)釣魚電子郵件。這幾乎是不可避免的。那么，為什么不打敗黑客并改變自己呢？

測(cè)試你的員工

對(duì)您的組織進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)有很多好處。這聽起來可能很奇怪，有點(diǎn)像是在說您可以通過安裝勒索軟件來測(cè)試您對(duì)勒索軟件的反應(yīng)，但請(qǐng)耐心等待。

就像滲透測(cè)試可以幫助您發(fā)現(xiàn)漏洞并發(fā)現(xiàn)網(wǎng)絡(luò)或應(yīng)用程序中的弱點(diǎn)一樣，進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)可以測(cè)試您對(duì)這種形式的社會(huì)工程的脆弱性。事實(shí)上，許多公司選擇將這些作為滲透測(cè)試的一部分進(jìn)行，以獲得更全面的安全報(bào)告。越來越多的時(shí)候，您需要注意來自內(nèi)部的威脅。

您可以選擇針對(duì)特定部門、遠(yuǎn)程工作人員、執(zhí)行級(jí)別的員工或整個(gè)企業(yè)的每個(gè)人。通過發(fā)送帶有附件或鏈接的精心制作的消息，您可以使用特殊工具來跟蹤誰打開了電子郵件、誰回復(fù)了它以及誰點(diǎn)擊了鏈接或下載了文件。這不是讓您可以點(diǎn)名羞辱（盡管那確實(shí)是您的事），而是讓您可以衡量是否需要更多培訓(xùn)或更嚴(yán)格的政策來確保您的業(yè)務(wù)安全。如果人們會(huì)犯下與網(wǎng)絡(luò)釣魚電子郵件打交道的錯(cuò)誤，那么他們最好在不會(huì)造成傷害的情況下犯錯(cuò)。

如果您持有大量財(cái)務(wù)信息或?qū)儆诳蛻舻膫€(gè)人數(shù)據(jù)，則需要確保它們都盡可能安全。

原文：https://www.bulletproof.co.uk/blog/phishing