某用戶，收到一封自己發(fā)給自己的郵件，郵件內(nèi)容為恐嚇性信息，“我有壞消息要告訴您。大約在幾個月之前，我獲得了您用來上網(wǎng)的電子設備的訪問權限。從那以后，我就開始監(jiān)視您在互聯(lián)網(wǎng)上的一舉一動……我的建議是頻繁地更新您所有的密碼！”。

　　反釣魚郵件演練的必要性

　　釣魚郵件是指利用偽裝的電子郵件，欺騙收件人將賬號、口令等信息回復給指定的接收者，或引導收件人連接到特制的網(wǎng)頁。這些網(wǎng)頁通常會偽裝模仿真實網(wǎng)站，如銀行或理財?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等，進而盜取用戶財產(chǎn)或數(shù)據(jù)信息。同時，釣魚郵件也會對內(nèi)部信息網(wǎng)絡安全造成隱患。

　　釣魚郵件攻擊實際上是社會工程學攻擊的一部分，“社工”指的是通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機密信息的方式，通常被認為是欺詐他人以收集信息、行騙和入侵計算機系統(tǒng)的行為。

　　釣魚郵件出現(xiàn)的根源在于發(fā)送者來源的不可信，例如日常生活中收到一封平郵，實際上很難了解該郵件是否一定由其所宣稱的人發(fā)出?；ヂ?lián)網(wǎng)充斥著大量虛假的信息，擁有辨別的能力和水平成為互聯(lián)網(wǎng)時代必備的基本素質(zhì)。除了郵件外，攻擊者也會利用包括電話、短信、IM、社交平臺、游戲平臺大廳等各種渠道進行詐騙。由于電子郵件收發(fā)便捷，成本低廉，導致其更為大眾所熟知。

　　在攻防場景中，如果正面無法突破，攻擊者也會嘗試社工的方法進行內(nèi)網(wǎng)滲透，釣魚郵件往往是攻擊者最先嘗試的方法。一旦一個用戶被成功釣魚，往往會導致其負責的所有信息泄露或周邊同事繼續(xù)被釣魚。所以釣魚郵件危害巨大，輕則只對單個用戶產(chǎn)生影響，重則造成組織敏感信息泄露，網(wǎng)絡防護體系整體崩潰。

　　在高校內(nèi)，近年來的釣魚郵件攻擊目標選擇和郵件內(nèi)容上變得更有針對性[1]。攻擊者會根據(jù)各單位的官方組織架構網(wǎng)站獲取人員信息，并根據(jù)通知公告熱點編制諸如新冠肺炎、科研申報、論文發(fā)表、年度考核、系統(tǒng)升級、健康打卡等內(nèi)容的釣魚郵件。高校郵件系統(tǒng)一般也會部署安全網(wǎng)關，但是安全網(wǎng)關針對垃圾郵件或者特征明顯的釣魚郵件效果尚可，而面對精準的釣魚攻擊顯得有些無能為力。

　　《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護制度均明確要求，應當定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核，告知相關的安全責任和懲戒措施?！?020郵件釣魚演練分析報告》[2]對除教育行業(yè)外的其他多個行業(yè)釣魚中招率等做了對比。

　　2021年5月18日，北京大學開展“釣魚郵件”攻防演練，演練取得了良好的警示效果。由此可見，為預防釣魚郵件攻擊，除了郵件服務器進行加固外，經(jīng)常性培訓和演練是一種提高組織內(nèi)全體人員的網(wǎng)絡安全意識的有效方法。利用電子郵件成本低廉的特性，宣傳反垃圾郵件和反詐騙相關信息，切實提高使用者的網(wǎng)絡安全素養(yǎng)，減低網(wǎng)絡安全風險。

　　普通用戶應當知道的釣魚郵件常識

　　01.一些釣魚郵件的案例

　　1.某用戶，收到郵件通知某信息系統(tǒng)升級，需要立刻修改密碼。該用戶通過查看學校信息部門網(wǎng)站，確認有升級動作，于是點擊郵件內(nèi)鏈接，未確認URL地址是否為官方地址，提交了舊密碼和新密碼，導致系統(tǒng)密碼泄露。

　　2.某用戶，收到偽造的自稱市內(nèi)知名企業(yè)的項目合作申報，未經(jīng)核實，根據(jù)附件申報信息將個人信息和同事個人信息和項目信息發(fā)送到附件內(nèi)被偽造的電子郵件。

　　3.某教師，收到某自稱其他高校本科生郵件，郵件內(nèi)容為希望考取研究生。于是加了微信聯(lián)系，后被騙取少量財物。

　　4.某用戶，收到同單位同事的郵件，郵件附件存在病毒未發(fā)現(xiàn)，打開后導致電腦被加密勒索。后查發(fā)現(xiàn)該同事郵件密碼已經(jīng)泄露，被惡意用戶利用向郵件列表內(nèi)所有同事發(fā)送勒索軟件。

　　5.某用戶，收到前幾天收到的一封同樣內(nèi)容的郵件，郵件收件人包括多個安全意識較強的同事，由于事項確實未完成，在未確認郵件內(nèi)鏈接URL的情況下點擊了鏈接。后查得知該郵件顯示發(fā)給其他多個同事，但是實際上其他同事沒有收到。

　　6.某部門某信息系統(tǒng)，開設了公開未實名的技術支持QQ群，在群內(nèi)解答用戶使用過程中遇到的問題。遭到惡意用戶加群后設置為其他部門管理員姓名發(fā)起臨時聊天會話并添加服務人員QQ，偽造系統(tǒng)故障，發(fā)送病毒文件給服務人員，由于服務人員安全意識不強，導致服務人員電腦被控制，泄露大量系統(tǒng)信息。

　　7.某用戶，每日在健康打卡系統(tǒng)打卡，某日下午忘記打卡，正好收到一封郵件提醒打卡，在著急下未確認URL地址，提交了賬戶名和密碼，導致密碼泄露。

　　8.某用戶，收到一封自己發(fā)給自己的郵件，郵件內(nèi)容為恐嚇性信息，“我有壞消息要告訴您。大約在幾個月之前，我獲得了您用來上網(wǎng)的電子設備的訪問權限。從那以后，我就開始監(jiān)視您在互聯(lián)網(wǎng)上的一舉一動……我的建議是頻繁地更新您所有的密碼！”。

　　02.釣魚郵件的分類

　　根據(jù)釣魚郵件的內(nèi)容，大致可以分為以下幾類：

　　1.附件釣魚：這類郵件的風險在于郵件中含有附件，附件的類型為可執(zhí)行文件，一般是病毒執(zhí)行程序。其他常見的還有Office文件、PDF等，主要是利用宏或者客戶端軟件CVE漏洞。也有利用加密的壓縮文件繞過反病毒監(jiān)測的。

　　2.鏈接釣魚：這類郵件風險在于郵件中有網(wǎng)頁鏈接，點開鏈接是騙子做的以假亂真的釣魚網(wǎng)站，網(wǎng)站通常會要求用戶輸入賬戶信息之類以獲取用戶敏感信息；另一種鏈接指向的網(wǎng)頁暗藏木馬程序，用戶如果瀏覽器存在未修復的漏洞則點開的同時就中招了。

　　3.二維碼釣魚：郵件中不直接放過于明顯容易識別的單位網(wǎng)站，而是包含有二維碼，引導用戶掃描二維碼進入釣魚網(wǎng)站。網(wǎng)站會要求用戶輸入賬戶信息用于獲取用戶敏感信息。二維碼也會指向附件或者App，要求用戶下載App或者相關附件，在App或者附件中植入病毒。

　　4.內(nèi)容釣魚：這類郵件通常附件不存在病毒，或者無任何外鏈或者二維碼，通過多次郵件來往獲取信任后實施進一步欺騙。

　　03.如何識別釣魚郵件

　　識別是否為釣魚郵件要從郵件整體來看：

　　1.看發(fā)件人地址，是否為熟悉的人。如果看到發(fā)件地址內(nèi)有錯誤字符，或者發(fā)件地址較長，或者是代發(fā)的，應引起警惕。即使是熟悉的朋友或同事，也要多一份警惕，因為對方可能密碼已經(jīng)泄露。

　　2.從發(fā)送時間看，是否有異常，比如凌晨等。

　　3.從內(nèi)容上看，使用領導或者官方機構語氣，夸大事件影響范圍，使用通用問候語或者稱呼的，制造緊急氣氛的，吸引人的內(nèi)容的，應引起警惕。

　　4.從內(nèi)容上看，如果郵件附帶鏈接或者二維碼，應引起警惕。

　　5.從附件上看，如果帶可執(zhí)行文件，或者加密ZIP的，應引起警惕。

　　6.不確認是否合法郵件的，應當多向其他同事詢問。

　　7.如果確認是釣魚郵件，應當向管理員報告，以免其他同事受害。

　　04.如何防范釣魚郵件

　　只要安全防護到位，即使遇到釣魚郵件也不用太擔心。如果打開的附件帶有病毒，只要系統(tǒng)安裝了防病毒工具，并且保持更新到最新，系統(tǒng)會自動隔離該附件避免遭到惡意用戶利用。

　　1.常規(guī)的安全防護措施要做，經(jīng)常接受一些網(wǎng)絡安全素養(yǎng)培訓。

　　2.密碼使用強密碼。

　　3.應定期更新操作系統(tǒng)、郵件客戶端、Office文檔查看器、PDF查看器、看圖工具等等軟件的安全補丁，保持最新。

　　4.應安裝防病毒軟件并保持啟用和定期更新病毒庫。

　　5.郵件客戶端和Office等會對互聯(lián)網(wǎng)文件有防護配置，比如Outlook的“信任中心”，或者Word會在“受保護的視圖”打開來自互聯(lián)網(wǎng)的文件，不應當為了方便而關閉防護。

　　6.辨認郵件內(nèi)鏈接是否可信。有些鏈接打開后實際上不是顯示的鏈接，或者多次重定向的短鏈接。所以網(wǎng)頁URL應當盡量從收藏夾打開或者手工輸入。

　　7.在任何網(wǎng)頁輸入密碼、驗證碼、個人信息等，一定要確認URL地址。如果在微信內(nèi)打開應當下拉網(wǎng)頁查看網(wǎng)頁源地址。應盡量不使用無法顯示源地址或者顯示不全的部分手機瀏覽器。

　　8.下載后的壓縮文件要仔細辨認文件后綴名，不應當隨意執(zhí)行任何可執(zhí)行文件。

　　05.我被釣魚了怎么辦

　　如果不小心被釣魚，應立即斷掉網(wǎng)絡，更改誤提交的密碼，并尋求專業(yè)人士幫助。

　　反釣魚郵件演練開展步驟

　　進行反釣魚演練之前，應當首先確認郵件服務器自身的安全性。應使用市面上占有率高的安全的郵件服務器軟件，郵件服務器軟件應當可以正常處理From字段畸形、代發(fā)顯示、方便地報告釣魚郵件等功能。郵件服務器應當做好DMARC、DKIM、SPF等加固，使用郵件安全網(wǎng)關對垃圾郵件和釣魚郵件進行過濾，對用戶普及校內(nèi)郵件地址后綴，防止子域名沒有設置SPF被惡意利用。

　　開展反釣魚演練也需要考慮演練是否會造成草木皆兵，雖然養(yǎng)成提交敏感信息時再次確認是一個基本的安全意識，但是由于用戶的網(wǎng)絡安全意識水平不一，如果不做好培訓，貿(mào)然開展演練會影響正常工作發(fā)送通知郵件的便利性。反釣魚演練也要防止演練導致敏感信息被提交，所以在演練中對用戶提交的密碼不記錄，也不驗證。

　　開展反釣魚演練需要選擇是自行開展或者采購外包服務。市面上有較多可實施反釣魚郵件演練的公司[3]。外包服務通常較為專業(yè)，釣魚模板全面，培訓物料完善，擁有大量可以用來發(fā)送、接收和處理演練過程中的IP池和域名。但是也存在以下問題：

　　1.外包服務無法覆蓋全部工作量。反釣魚郵件培訓網(wǎng)站需要跟校內(nèi)統(tǒng)一身份認證對接，也需要提供校內(nèi)組織架構，需要收集郵件地址，需要提供近期校內(nèi)熱點事件，需要提供部分業(yè)務系統(tǒng)敏感數(shù)據(jù)，需要在OA等群發(fā)培訓通知，這些外包公司無法完成。

　　2.數(shù)據(jù)安全性問題，反釣魚演練的準備、過程和結果數(shù)據(jù)應當保密，如果更換外包服務后，需要考慮如何整合歷史數(shù)據(jù)和新外包服務的系統(tǒng)，以便數(shù)據(jù)具有延續(xù)性。

　　3.外包服務通常以次數(shù)或發(fā)送郵件封數(shù)來計算成本。高校的特點是人員眾多，各個角色人數(shù)多且更替頻繁，每年均有新生和新進教職員工，各個人員有工作郵箱和私人郵箱混用，多層次，常態(tài)化反釣魚演練成本較高。

　　如高校郵件管理部門有一定的技術能力，并且郵件系統(tǒng)可控，則可考慮自建反釣魚演練平臺和培訓站點，達到數(shù)據(jù)完全掌握可控，釣魚模板緊跟校內(nèi)熱點和業(yè)務系統(tǒng)數(shù)據(jù)。一旦選定了模式，就可以以下列步驟來開展反釣魚演練了。

　　01.報主管部門批準

　　實施反釣魚郵件演練之前應當報告主管部門批準。如果需要以某部門的名義發(fā)送，應當通知該部門，并協(xié)助該部門做好用戶電話咨詢等應對措施，以免對該部門工作造成干擾。也應當告知相關的安全部門，否則會對一些安全設備的告警或者態(tài)勢感知設備的分析造成污染。

　　02.開展培訓

　　反釣魚演練的目的不在于最終抓住普通用戶的網(wǎng)絡安全意識問題并進行各種懲罰性措施，而是在于評估機構內(nèi)所有用戶的安全素養(yǎng)水平和提高用戶的網(wǎng)絡安全意識，所以在釣魚之前一定要做好培訓。

　　在校內(nèi)在線學習平臺開設防釣魚郵件課程，課程內(nèi)容包括“什么是釣魚郵件”、“身邊的案例”、“如何識別釣魚郵件”、“如何防范釣魚郵件”、“我被釣魚了怎么辦”、“反釣魚郵件小測驗”、“相關資源和鏈接”等，通過辦公自動化通知、群發(fā)郵件、群組通知等廣泛多次通知用戶閱讀培訓。

　　建立釣魚郵件報告機制。在培訓時告知用戶可通過將釣魚郵件發(fā)送到特定郵箱、在Web標記釣魚郵件、打電話咨詢等方式完成報告。

　　03.開展自測

　　為了檢驗培訓的成果，也為了在用戶被釣魚后可以自學，需要在在線平臺開設測試。使用題庫，鼓勵用戶多次答題。并根據(jù)反饋和案例充實題目。

　　04.演練

　　演練可以分批多層次舉行。初期在小單位內(nèi)部測試，測試沒有問題后再拓展到高價值用戶，比如校內(nèi)所有網(wǎng)站管理員，再拓展到全校師生。在演練發(fā)出后，應當跟蹤演練平臺、發(fā)送郵件服務器、接收郵件服務器的日志，防止因為配置不當郵件被攔截。

　　演練的郵件模板可以根據(jù)發(fā)送者、發(fā)送內(nèi)容、接收者等多個形式組合。比如：

　　1.模擬常規(guī)釣魚郵件，發(fā)送者郵件為非校內(nèi)郵件的地址，郵件較長無規(guī)則，非常易于識別的釣魚郵件。

　　2.錯別字多，存在常識錯誤的釣魚郵件。

　　3.郵件內(nèi)外鏈域名為較長無規(guī)則。

　　4.發(fā)送者郵件跟校內(nèi)郵件非常接近，只差一個字母等等近似或者不可見字符、全角@、肉眼容易混淆的Unicode字符。比如xmu.eud.cn、xmuu.edu.cn等等類似的域名。

　　5.發(fā)送者郵件地址為校內(nèi)師生，模擬校內(nèi)師生郵箱被黑被惡意發(fā)送釣魚。

　　6.外鏈域名與校內(nèi)地址類似的，比如id.xmu.edu.cn.l.example.com等。

　　7.外鏈域名為校內(nèi)，模擬校內(nèi)網(wǎng)站被攻擊后作為釣魚。

　　8.帶上個性化信息，比如在科研信息系統(tǒng)內(nèi)未結題項目信息，加大迷惑性。

　　9.發(fā)送多語言的郵件內(nèi)容，比如英文論文錄用通知。

　　10.針對特定角色用戶。

　　11.針對多次被釣魚用戶。

　　如果用戶誤點擊鏈接并提交用戶名信息后，應引導到一個特定頁面，在這個頁面告知用戶只是個演練，以及如何識別這封釣魚郵件的特征，并繼續(xù)引導用戶到培訓網(wǎng)站。

　　05.總結和常態(tài)化執(zhí)行

　　在一次演練結束后，應當分析數(shù)據(jù)，形成總結報告，積累經(jīng)驗，并將演練結果脫敏后群發(fā)給用戶告知，加強培訓效果。

　　多次發(fā)送釣魚郵件后，根據(jù)數(shù)據(jù)跟蹤分析得到易中招人員名單，分析共性，針對易中招人員再進行特定培訓。

　　自建反釣魚演練平臺實施方法

　　反釣魚演練平臺的搭建可以選擇免費的Gophish或者SniperPhish等開源軟件。應使用自動化部署，部署后，應當對系統(tǒng)做好安全加固，提高平臺的穩(wěn)定性。

　　以Gophish為例，應定期更新安全補丁，使用MySQL數(shù)據(jù)庫，方便后期做數(shù)據(jù)分析統(tǒng)計。可通過supervisor或放入systemd維持Gophish進程。不建議直接暴露Gophish的80/443端口，可使用Nginx代理對外提供HTTP/HTTPS服務。

　　Gophish支持靈活配置不同的釣魚策略，需搭配郵箱服務器實現(xiàn)發(fā)送釣魚郵件，可使用開源的Postfix作為發(fā)件服務器。在目標郵件服務器上對發(fā)件服務器關閉部分規(guī)則校驗或者設置白名單，繞過垃圾郵件過濾和發(fā)送頻率、來源驗證等限制。

　　釣魚頁面可通過Gophish 的LadingPage導入，目前只支持一個頁面。如果需要在多個頁面之間實現(xiàn)跳轉(zhuǎn)和抓取數(shù)據(jù)，可以在一個頁面內(nèi)嵌入兩個步驟的頁面，或者獨立搭建一臺服務器，在站點內(nèi)嵌入多個{{.RId}}來實現(xiàn)跟蹤頁面打開和數(shù)據(jù)提交。如果要將釣魚頁面實現(xiàn)得更為逼真，可以搭建Nginx反向代理服務器，將站點反向代理到真實服務器，替換跳轉(zhuǎn)頁面登陸地址，可以達到更好的隱蔽性。

　　Gophish還在持續(xù)開發(fā)演進中，功能上存在以下不足：

　　1.Gophish釣魚活動看板可以看到一次釣魚啟動后所有的時間點，包括某個用戶何時發(fā)送，何時打開，何時點擊外鏈，何時提交和報告。但是無法將多次釣魚演練的數(shù)據(jù)進行合并顯示，比如顯示Top中招的用戶，為了更好地進行數(shù)據(jù)分析，可以通過直連數(shù)據(jù)庫，進一步進行數(shù)據(jù)分析。

　　2.Gophish暫無法發(fā)送更高級的釣魚郵件，比如帶個性化信息的釣魚郵件，郵件模板可替換變量較少，無法發(fā)送帶跟蹤鏈接的Word附件，無法對發(fā)送的二維碼進行自定義等等。