社会工程学攻击之钓鱼邮件分析

门嘉平 肖扬文 马 涛

1(清华大学计算机科学与技术系 北京 100084) 2(国家市场监督管理总局信息中心 北京 100820)

(mjp20@mails.tsinghua.edu.cn)

钓鱼邮件是指黑客利用精心设计的高欺骗性邮件，通过伪造发件人信息以获得收件人信任，诱使收件人对邮件进行直接回复、点击邮件正文中的恶意链接、打开隐藏恶意程序的附件文件等，从而实现非法收集收件人敏感信息、执行恶意代码等攻击目的，为下一步攻击作准备的一种网络攻击形式.钓鱼邮件操作简单，欺骗性强，但是危害巨大，具有很强的针对性，可以对运维部门及高管等有价值的目标实施精准攻击.钓鱼邮件是打开内网通道的极佳入口，作为一种普遍的社会工程学攻击方法，是黑客常用的攻击手段之一.根据SophosLabs统计数据显示，在其2020年9月捕获的所有垃圾邮件中，钓鱼邮件的比例高达97%以上[1].2020年4月20日，国家互联网应急中心(CNCERT)发布的《2019年我国互联网网络安全态势综述》报告指出，2019年针对党政机关和关键基础设施等重要单位的APT(advanced persistent threat)攻击日益猖獗，逐步向军民融合和“一带一路”等领域蔓延，尤其在重大活动和敏感时期活动更加频繁.其中，黑客常用的技术手段就是投递高诱惑性钓鱼邮件，据CNCERT监测显示，2019年重要党政机关共收到钓鱼邮件高达50万次以上[2].

因此，有必要对钓鱼邮件的攻击机制进行探讨，深刻认识钓鱼邮件的极大危害，从而提高对钓鱼邮件的防范意识，采取切实可行的防范措施.

1 钓鱼邮件攻击原理

1.1 钓鱼邮件目的

黑客一般会通过研究收件人的兴趣爱好、社会关系等，通过伪造发件人信息，从而精心构造诸如软件升级、中奖确认、会议通知、上级命令、薪资调整等高诱惑性邮件标题，从而诱使收件人打开邮件并进行相应操作，最终实现黑客的非法目的.

黑客发起钓鱼邮件的目的主要包括以下几种：

1) 非法获取收件人敏感信息

黑客通过邮件标题和正文内容，故意营造某种场景，从而引起收件人产生惊喜或恐慌等情绪反应，诱使收件人根据黑客指示，在无意识的情况下泄露个人敏感信息.比如：

① 以系统管理员的口吻发送邮件升级通知，需要收件人填写个人邮箱名和邮箱密码进行核对，从而导致收件人个人邮箱账户、所有收发邮件及邮件联系人信息泄露；

② 以活动主办方的名义发送中奖信息或者重要会议通知，诱使收件人填写身份证号、手机号、银行卡号、家庭住址等信息；

③ 以公检法的名义伪造官方文件，营造恐慌氛围，压缩收件人反应时间，促使收件人在短时间内填写个人敏感信息并发送.

2) 非法获得收件人钱财

黑客通过构造中奖信息或者直接进行勒索.比如：

① 以活动主办方的名义发送中奖信息，需要提前支付手续费、信息核对费等，从而导致收件人产生直接经济损失；

② 诱使收件人点击邮件正文中恶意链接或者运行附件恶意程序，导致系统被加密，需要交付一定数量的赎金(一般以比特币的形式)；

③ 获得收件人邮件中的所有内容和附件，尤其是一些个人无法公开的信息或材料，并以此要挟收件人支付赎金.

3) 为下一步攻击作准备

有经验的黑客往往会为下一步攻击作准备，比如权限提升或者对电脑实施远程控制，从而谋取更大的利益.在大量的APT攻击案例中，收件人往往不知道自己电脑已经被黑客控制，致使受攻击程度较重.比如：

① 收件人点击邮件正文中的恶意链接，触发恶意网站隐藏的木马或间谍程序，导致个人电脑“被动”受控；

② 收件人打开钓鱼邮件附件，运行恶意代码，“主动”安装恶意程序，致使黑客可以远程控制收件人电脑；

③ 黑客直接利用收件人邮箱实施进一步诈骗，比如以收件人名义给出虚假报价，诱使其他买家支付一定数额的预付款，或者以收件人名义进行其他诈骗活动；

④ 黑客申请一个 与收件人类似用户名和邮箱地址，并实时监控收件人邮箱或者拦截发往原邮箱的所有邮件，伺机获得钱财.

4) 政治目的

有些黑客发起钓鱼邮件攻击是为了获得机密信息以营造政治影响，从而达到一定的政治目的.比如：

① 2016年3月美国希拉里竞选团队主席打开伪装成谷歌公司警告邮件的短链接，并根据黑客指示修改密码，导致其个人邮箱密码泄露，致使邮箱中所有来往邮件内容及机密文件为黑客获取并在维基解密公开，从而直接导致希拉里竞选的失败；

② 2020年3月11日，环球网发布消息，据某网络安全权威人士透露，新冠疫情爆发之后，大量来自台湾的钓鱼邮件利用疫情热点词汇作为主题，有针对性地攻击党政机关、科研院所、医疗卫生系统等机构，诱导目标人员打开邮件附件，从而达到窃密目的；

③ 2020年12月3日，IBM安全团队X-Force发布一份报告，称发现具有政府背景的黑客正瞄准COVID-19疫苗冷链，伪装海尔生物医药公司高管给支持疫苗冷链的其他高管发送钓鱼邮件，试图诱导收件人打开包含恶意HTML的附件，从而渗透或破坏疫苗供应链[3].

1.2 钓鱼邮件攻击方式

1) 邮件正文自身具有欺骗性

这是最简单直接的攻击方式，黑客几乎不需要高深的技术手段，仅利用一般人的心理弱点，直接在邮件正文中通过文字营造一种恐慌或者惊喜的氛围，伪造中奖通知、单位高管通知、运维部门通知等，从而让收件人按照发件人要求直接回复邮件或进行相关操作，从而造成收件人个人敏感信息泄露或者财物损失.

比如假冒内部运维通知邮件，以内部系统升级、僵尸账号清理、账户重新验证等为由，要求收件人输入账号、密码及其他个人详细信息，致使攻击者获得内部权限，或者利用已获得的信息实施进一步的诈骗.

2) 邮件正文插入恶意链接

这种攻击方式需要一定的技术基础，黑客在邮件中插入恶意链接，等待收件人进行点击.恶意链接可能是一个简单的恶意程序下载入口，或者是伪造的网页(比如与已知网站类似但是拼写略有差别的超链接)等.有些黑客对邮件的内容进行精心构造，在邮件正文中混杂官方合法的资源链接和恶意的虚假链接，从而避开垃圾邮件过滤器的筛选，骗取收件人的信任.

比如德国电影《我是谁：没有绝对安全的系统》中，黑客组合CLAY通过在垃圾堆中获得的目标信息，精心构造了包含可爱猫咪图片的钓鱼邮件，德国情报局内部员工点击了图片链接，从而为CLAT入侵德国情报局网络提供了入口[4].

3) 邮件附件隐藏恶意程序

这种攻击方式需要中等技术基础，是比较常见的一种攻击方式.尤其如今垃圾邮件过滤不断升级，黑客更多地会选择在邮件附件中隐藏木马，从而实现非法目的.黑客将木马程序隐藏在邮件附件中，一旦收件人处于无意或好奇打开附件就会运行木马/病毒程序，导致数据泄露或者其他后果.黑客常用的附件类型有文档(word,ppt,excel等)、图片(gif,png等)、压缩包(zip,rar等)、脚本程序(exe,vbs,bat等)等，而且一般都会使用超长文件名隐藏后缀，从而规避邮箱安全机制的过滤.其中，利用word文档宏代码调用powershell执行恶意程序安装进程比较常见，而zip等压缩包通常用来对恶意软件进行“隐身”，从而避开邮件沙箱或杀毒软件的直接查杀.

比如2019年4月发现的sodinokibi勒索病毒，以税务、司法等名义发送钓鱼邮件，附件名称为“最高法院文件.doc.exe”“税务局文件.doc.exe”等，由于系统默认不显示文件扩展名，收件人双击打开看似为doc的可执行文件，快速完成安装sodinokibi勒索病毒并对收件人电脑中所有文件进行加密，从而勒索巨额赎金[5].

4) 利用操作系统或应用软件漏洞

这种攻击方式需要较高的技术基础，黑客使用邮件作为媒介，利用操作系统或应用软件(浏览器、Office组件、Adobe Reader等)等存在的0-day或N-day漏洞，精心构造攻击载荷，从而达到攻击目的.黑客需要对收件人使用的操作系统或应用软件进行比较精准的识别，攻击成本较高，但是一旦攻击成功，黑客获得收益极大.

比如2017年12月发现的“商贸信“病毒，利用Office远程代码执行漏洞(CVE-2017-11882)，伪装成采购单、对账单、报价单等文件，收件人不需要任何交互，只要将文件下载并打开，此病毒就将自动从云端下载远程控制木马，进而窃取收件人电脑上保存的邮箱、社交账户、银行卡、比特币等上百种账号及密码，而且还会对其他网络目标发起DDoS攻击[6].

5) 利用邮件协议自身漏洞

最初的SMTP协议缺乏发件人的身份验证机制，允许使用构造的发件人信息，这就为不法分子提供了可乘之机.虽然SMTP-AUTH扩展加入了身份认证机制，但是效果仍旧不理想.SPF(sender policy framework)机制有助于过滤绝大部分垃圾邮件(包括钓鱼邮件)，但是如果邮箱没有设置SPF，那么利用Kali Linux系统自带的swaks工具就可以很容易地向目标收件人寄送伪造的钓鱼邮件，而且Kali Linux系统自带的万能爆破工具hydra可以轻松实现对常见邮件协议的爆破.

比如2017年德国研究员Haddouche发现高达33个邮箱客户端中存在MailSploit 漏洞，可以让任意用户伪造发件人身份发送邮件.2020年发现的OpenBSD SMTP漏洞，攻击者可以在存在漏洞的OpenSMTPD上执行任意的Shell命令.

2 钓鱼邮件与APT攻击

APT攻击，完整名称为高级持续性威胁，指针对特定对象进行的持久而隐秘的攻击活动，综合运用社会工程学和多个漏洞实施攻击，通常具有较强的隐蔽性，一般会长期驻留在目标系统中.而钓鱼邮件是APT成功实施的关键因素之一.下面简单举一些实例：

1) RSA SecurID窃取攻击

2011年3月，RSA公司部分职工收到标题为“2011 Recruitment Plan”的钓鱼邮件，并附有名为“2011Recruitment Plan.xls”的附件，内含Adobe Flash的0day漏洞(CVE-2011-0609)的利用程序.RSA公司邮件过滤机制已自动将其归为垃圾邮件，但其中一位职工将其从垃圾邮件中恢复并打开附件阅读，导致该主机被植入远程控制工具，并致使其他与之连接的服务器被黑客植入恶意程序.最终若干SecurID技术及敏感客户资料被黑客窃取，直接导致使用SecurID作为认证凭证构建VPN的公司(比如洛克希德·马丁公司、诺斯罗普公司等)遭受黑客入侵，重要技术资料遭到窃取[7].

2) 暗鼠攻击

2011年8月，McAfee/Symantec公司发现了此种攻击.黑客构造一些具有诱惑性且带有附件(内含漏洞利用程序)的邮件发送给特定人员，以公司人力部门的名义通知收件人更新组织通讯录，或者以财务部门的名义请其审核某个真实存在的项目预算等等，当收件人打开xls格式附件，木马程序就可以利用Excel程序远程代码执行漏洞而实现安装.然后，借助木马程序，黑客可以与收件人主机建立远程Shell连接从而实现远程控制.

3) Nitro攻击

2011年10月，Symantec报告了针对化工企业进行窃取资料的Nitro攻击.首先目标企业的职工收到高诱惑性钓鱼邮件，阅读邮件时打开伪装成文档的恶意可执行程序，导致主机被植入Poison Ivy后门程序；或者黑客将可执行程序放入压缩文件中，诱使收件人解压并执行其中的可执行文件，从而实现后门程序的安装.Poison Ivy对80端口进行加密通信，上传收件人账号等相关信息，并不断在公司内部网络搜集更多的敏感信息.

4) Luckycat攻击

2012年3月，TrendMicro报告了针对印度和日本的能源、军队、航天等单位的Luckycat攻击.此次攻击起始于钓鱼邮件，标题大多与福岛核电站辐射(2011年3月福岛核电站由于地震发生泄漏事故)相关，邮件附件包含CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE-2011-0611，CVE-2011-2462等针对pdf/rtf的漏洞利用程序.黑客一旦成功渗透进内网就会发起C&C远程控制，窃取各类敏感信息.

5) 乌克兰电网攻击

2015年12月23日，乌克兰电网遭受黑客攻击，导致乌克兰一半地区发生断电事故.黑客首先发送钓鱼邮件，其中包含BlackEnergy3木马载荷的附件.电力公司的职工一旦打开附件，将植入BlackEnergy3木马，致使黑客获得电力公司工控网络的登录权限，直接关闭断路器导致电力供应中断.然后BlackEnergy3下载恶意组件KillDisk并启动，删除重要日志文件和MBR记录，实施系统破坏[8].

6) “丰收行动”攻击

2016年7月，东巽科技2046Lab发现并报告了“丰收行动”APT攻击.此攻击将木马可执行程序伪装成word文档，其中包含CVE-2015-1641(Word类型混淆漏洞)漏洞利用程序.以钓鱼邮件的方式发送给目标人员，待收件人打开附件时实现安装，旨在窃取军事相关情报.

7) “海莲花”“蔓灵花”攻击

根据CNCERT检测结果显示，2019年“海莲花”组织利用境外服务器，不断对我国党政机关和重要行业发起钓鱼邮件攻击，其中主要利用的漏洞包括Office组件的CVE-2017-8570和CVE-2017-11882等.“蔓灵花”组织在2019年全国“两会”、新中国成立70周年等重大活动期间，有针对性地对党政机关、能源机构的数百个目标发送了钓鱼邮件.

3 钓鱼邮件防范措施

钓鱼邮件的危害巨大，需要引起高度重视.俗话说“三分技术，七分管理”，对于公司来说需要做到：

1) 组织员工进行钓鱼邮件防范培训，提高全员网络空间安全防范意识；

2) 在公司内部不定期进行钓鱼邮件安全测试，及时发现问题并采取补救措施；

3) 使用高安全性邮件系统，并及时配置安全过滤机制；

4) 敦促员工安装杀毒软件，并及时更新病毒库.

对于个人来说，需要做到：

1) 认真学习CNCERT发布的《钓鱼邮件攻击防范指南》[9]，做到“五要”“五不要”，增强安全防范意识；

2) 不要轻信发件人地址显示的“显示名”，遇到索要敏感信息的邮件需要及时通过电话核实；

3) 切忌轻易打开邮件中文中的短链接，谨防上当受骗，造成财物损失；

4) 安装杀毒软件，邮件附件运行前先进行病毒查杀.