企业中对钓鱼邮件的攻击危害研究及安全意识提升

冯雅平 杨阳 尹琴 冯磊 李宁

（国网思极网安科技（北京）有限公司，北京 100000）

一、引言

随着全球信息网络化的发展，网络安全形势日益严峻，网络攻击国家化的趋势明显。国家互联网应急中心（CNCERT）发布的互联网网络安全态势综述中报告，2019 年CNCERT 监测到重要党政机关部门遭受钓鱼邮件攻击数量达50 多万次，月均高达4.6 万封，重大活动和敏感时期钓鱼邮件的情况则更为猖獗。在黑客众多的攻击手法中，钓鱼邮件成为最常用、最便捷的攻击方式。信息安全关乎经济发展、社会稳定、国家安全、企业利益等，而对一个企业来说，信息安全问题以及对信息的安全管理都是重中之重的。

（一）钓鱼邮件概念及危害分析

1.基本概念

钓鱼邮件指利用伪装的电子邮件，里面包含了非法的链接地址或者非法的图片，点击里面的链接或者打开图片，就会跳转到黑客指定好的钓鱼页面上，欺骗收件人将账号、口令等信息提交在网页上；这些页面通常会伪造成和真实网站一样，如银行或理财的页面，让登录用户信以为真，将自己的信用卡或银行卡号码、账户名称及密码等重要隐私信息输入到网页上。从而提交给黑客。

2.危害分析

钓鱼邮件的主要目的是要劫财，在网络钓鱼邮件隐藏着两种危害方式：其一是企业员工的邮箱用户未察觉出邮件内容中链接的假网银、假网站、病毒附件等，就贸然输入了企业账户的账户和密码等重要隐私信息，导致了企业资产的损失。其二是企业员工发觉出了钓鱼邮件中所包含链接的假网银、假网站、病毒附件等，虽然这次的直接损失可以避免。但在这些假网站中都隐藏了事先准备好的木马程序或间谍程序。若电脑防御功能不足，在点击链接后，电脑就会被木马或间谍程序入侵。从而给企业或网络用户造成重大的经济损失。

（二）钓鱼邮件主流攻击方式

1.邮件正文内容中插入了恶意链接

这是一种最基础的攻击方式，就是在邮件正文中放入一个恶意诱导链接，等待用户进行点击，链接后面是一个伪造的网站，可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。

攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等，以提高内容可信度，诱导用户点击链接。而恶意链接部分也进行伪装。常见的伪造方式如下：

短链接、使用html 标签隐藏、近似的URL、子域名等

第一，邮件附件藏毒

此类也是常见的一种，攻击者的payload 含在邮件附件里，载体有直接的文档、图片、压缩包、脚本程序（exe、vbs、bat）等。

第二，利用软件漏洞攻击

此类做法主要是使用邮件进行投递攻击武器，武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞，此类攻击需要配合操作系统/浏览器的 0day 或者 Nday，而且需要对攻击者使用的终端应用软件进行比较精准的识别，因此攻击成本较高，但是最终的效果还是很不错的，如利用邮箱的xss 漏洞获取了大量员工邮箱账户cookie 信息。

第三，利用邮件协议漏洞攻击

主要利用了邮箱本身安全设置问题，若邮箱地址没有设置spf，那么就会有人假冒真实域名发送邮件。使用swaks 可以非常简单的向目标发送一封伪造的钓鱼邮件。

其一，邮件发件人身份”伪造”

这里面伪造笔者使用了引号，因为这个伪造可能是使用真实的发件人邮箱身份，如攻击者通过一些方式窃取了一些真实可信的邮箱身份。使用伪造的真实可信的邮箱内容进行欺骗。

其二，钓鱼邮件实战模拟演练统计

我们在2021 年1 月份首次使用钓鱼演练平台对某公司内网利用上述的钓鱼邮件攻击方式。总计对企业中的20W 名员工进行钓鱼模拟演练。

其三，钓鱼邮件模拟演练准备

收集20W 员工的邮箱信息导入到演练平台中。在创建演练活动中需要进行选择。

准备钓鱼邮件模板，模板内容包括安全警告、休假调整、疫情防控政策等模板内容，吸引员工打开和点击钓鱼链接。

事先将准备好的钓鱼邮件警告图片插入到网页中。员工打开链接时，警告员工已经打开了钓鱼网站，风险增加。

准备管理员或者其他领导的近似邮箱域名。以混淆真实发件人域名。

以上内容准备好后，发起钓鱼活动，即可进行演练。

其四，整体数据统计

这次钓鱼模拟演练我们一共发送了邮箱总数202081 个，发送成功了201321封钓鱼邮件，在持续1周结束演练后将数据导出，得到了以下统计结果。

从以上统计结果可以看到，再没有做任何演练和培训的情况，企业员工中钓鱼邮件打开数有57420 封，占比28.52%。钓鱼连接点击数有10857 人，占比18.91%。可以看出大部分员工对于钓鱼邮件是疏于防范或没有防范的。因此造成企业损失的风险会急剧上升。

有时候我们需要根据每个邮件主题进行统计，以对企业下发的邮件主题内容做出高度防范和警惕，我们根据邮件主题导出了以下数据统计结果。

从以上统计结果可以看到，其中疫情防控政策的邮件主题是打开占比和点击占比最高的，打开占比达到了47.60%，点击占比达到了26.12%。因当今社会下新冠肺炎疫情关系着每个人的生活，由此看出企业员工对此主题的关注度很高。若黑客利用同样的方式对企业员工进行邮件钓鱼。后果将会不堪设想。

二、企业员工对钓鱼邮件的安全意识提升

企业内部的钓鱼邮件模拟攻击测试，对提升企业以及员工的安全意识有很大的帮助，对企业和企业员工来说都是一次很好的钓鱼邮件安全检验。

企业员工针对钓鱼邮件的防范措施如下：

（一）不轻信发件人地址中所显示的发件人。因为发件人实际上是可以随便设置。要谨慎检查发件邮箱的全称。

（二）不要轻易点开陌生邮件的链接。

（三）不放松对“熟人”邮件的警惕。

（四）不在公共场所链接陌生网络执行敏感操作。

（五）不随意在网站上留下邮箱账号和密码信息。

（六）不建议使用简单的弱密码，并养成定期修改密码的习惯。

（七）开启手机验证码服务。登录需要手机验证才可以登录。

（八）邮件服务器管理员后台设置IP 登录限制。如只允许在其中某一个国家或者地区操作。

（九）检查邮箱是否有异常设置、如自动转发、登录查询、来信分类等。如果有的话，建议取消或者修改小关设置。