• 第一類主要通過(guò)漏洞觸發(fā)，包括目標(biāo)網(wǎng)站服務(wù)器漏洞（如XSS、SQL注入），第三方引用內(nèi)容的問(wèn)題（如IFRAME掛馬），網(wǎng)站IT支撐環(huán)境相關(guān)的DNS、HTTPS、SMTP服務(wù)缺陷（如DNS劫持），以及客戶端終端環(huán)境存在的隱患，攻擊者利用這些漏洞結(jié)合社會(huì)工程學(xué)對(duì)受害者進(jìn)行誘騙。
• 第二類攻擊手段則完全利用社會(huì)工程學(xué)的方式對(duì)受害者進(jìn)行誘騙，如發(fā)送大量誘騙郵件、搜索引擎虛假信息，發(fā)布各類仿冒網(wǎng)站等。

什么是 釣魚郵件

釣魚郵件指利用偽裝的郵件，欺騙收件人將賬號(hào)、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人連接到特制的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)通常會(huì)偽裝成和真實(shí)網(wǎng)站一樣，如銀行或理財(cái)?shù)木W(wǎng)頁(yè)，令登錄者信以為真，輸入信用卡或銀行卡號(hào)碼、賬戶名稱及密碼等而被盜取。但近期勒索軟件攻擊事件中，又可以看到一種新的形式，即帶誘騙附件，誘惑受害者點(diǎn)擊，然后加密受害者電腦數(shù)據(jù)，索取贖金。

釣魚攻擊的特點(diǎn)

綠盟科技在《 反釣魚的整體防護(hù)思路 》中介紹到，釣魚攻擊較大的特征即是具有極大的欺騙性。攻擊者制作一個(gè)仿冒網(wǎng)站，類似于真實(shí)網(wǎng)站的克隆，再結(jié)合含有近似域名的網(wǎng)址來(lái)加強(qiáng)仿真度，進(jìn)而進(jìn)一步騙取用戶的信任。

• 欺騙性

網(wǎng)絡(luò)釣魚較大的特征即是具有極大的欺騙性。大家都已經(jīng)聽(tīng)說(shuō)過(guò)假幣，利用極度模仿的手法去偽造真實(shí)貨幣的樣貌，不管是什么角度來(lái)看都是和真實(shí)的沒(méi)有什么兩樣，網(wǎng)絡(luò)釣魚者可以利用自己的站點(diǎn)去模仿被釣網(wǎng)站的頁(yè)面，類似于克隆一樣，然后結(jié)合含有近似域名的網(wǎng)址來(lái)加強(qiáng)真實(shí)程度。更有甚者會(huì)先入侵一臺(tái)服務(wù)器，在服務(wù)器上面做相同的事情，讓自己可以更好的脫離其中，逃避追蹤以及調(diào)查。

• 針對(duì)性

我們可以在APWG（Anti-Phishing Working Group）的釣魚報(bào)告可以看出，通常與釣魚者緊緊相關(guān)的網(wǎng)站都是一些銀行、商業(yè)機(jī)構(gòu)等等的網(wǎng)站機(jī)構(gòu)，隨著互聯(lián)網(wǎng)飛速的發(fā)展，電子商務(wù)、網(wǎng)上購(gòu)物已經(jīng)成為了和網(wǎng)民息息相關(guān)的服務(wù)。龐大的網(wǎng)絡(luò)資金流動(dòng)，帶動(dòng)了很多的新興行業(yè)，也帶來(lái)了潛在的安全隱患。網(wǎng)絡(luò)釣魚就是潛在當(dāng)中較嚴(yán)重較令人頭痛的安全隱患。

• 結(jié)合性

我們正在使用的操作系統(tǒng)以及程序都會(huì)出現(xiàn)很多的安全隱患以及漏洞，釣魚者會(huì)利用這些漏洞從而來(lái)進(jìn)行攻擊，例如：利用Internet Explorer的一些漏洞去構(gòu)造連接地址，或者利用漏洞去種植間諜軟件或者鍵盤木馬等等。

• 多樣性

網(wǎng)絡(luò)釣魚一種針對(duì)人性弱點(diǎn)的攻擊手法，釣魚者不會(huì)千篇一律的去進(jìn)行攻擊，不管是網(wǎng)絡(luò)、現(xiàn)實(shí)到處都存在著釣魚式攻擊的影子。釣魚者不會(huì)局限于常用的偽造網(wǎng)站，虛假郵件等等的手法，釣魚者會(huì)結(jié)合更多的便民服務(wù)，人性的貪婪去想象更多令人容易心動(dòng)，容易受騙的形式去騙被釣者，從而在更短的時(shí)間內(nèi)得到較好的效果。

• 可識(shí)別性

網(wǎng)絡(luò)釣魚并不是無(wú)懈可擊，更加不是說(shuō)可以完完全全的沒(méi)有破綻。從釣魚者的角度出發(fā)，釣魚者本身會(huì)利用較少的資源去構(gòu)造自己的釣魚網(wǎng)站，因?yàn)闊o(wú)法去利用真實(shí)網(wǎng)站一些獨(dú)有的資源（例如：域名，USBKEY，數(shù)字驗(yàn)證等等）所以，在偽造網(wǎng)站的方面，會(huì)利用近似或者類似的方法來(lái)進(jìn)行欺騙，通常我們可以查看偽造網(wǎng)站以及根據(jù)經(jīng)驗(yàn)去識(shí)別其真實(shí)性，當(dāng)我們查看HTML源碼或者是一些獨(dú)有的資源時(shí)，我們就可以很容易看出虛假網(wǎng)站的真實(shí)性了。

雖然普通技術(shù)用戶警惕性越來(lái)越高，但釣魚事件仍層出不窮，影響范圍越來(lái)越廣。根據(jù)Wombat安全公司正式發(fā)布的報(bào)告 ，釣魚攻擊數(shù)量在過(guò)去的五年間呈增長(zhǎng)趨勢(shì)；調(diào)查表明，22%的組織遭受過(guò)賬戶入侵，42%曾被惡意軟件感染，4%經(jīng)歷過(guò)由釣魚攻擊直接造成的數(shù)據(jù)丟失。當(dāng)今黑客在仿真方面的精準(zhǔn)度令人驚嘆，他們會(huì)偽裝成員工的熟人發(fā)送郵件，員工很容易上當(dāng)，進(jìn)而點(diǎn)擊惡意附件。反釣魚意識(shí)教育不僅應(yīng)在企業(yè)層面還應(yīng)該在個(gè)人層面進(jìn)行。本文提供了網(wǎng)上可用的幾大反釣魚資源，希望組織和個(gè)人能從中受益。

下面，媒體整理了較為人熟知的幾大反釣魚和網(wǎng)絡(luò)教育工具：

反釣魚網(wǎng)站

1. SecurityIQ PhishSim

SecurityIQ不僅僅是網(wǎng)絡(luò)釣魚模擬器，它的培訓(xùn)模塊互動(dòng)性強(qiáng)，除了提供真實(shí)的網(wǎng)絡(luò)釣魚測(cè)試，還有定制課程，賦予了管理員完全的控制權(quán)?；A(chǔ)會(huì)員資質(zhì)容易獲取，只需要填寫表格就可以搞定。該方案基于云，無(wú)需安裝，不需要配置服務(wù)器，也不用修改任何腳本。注冊(cè)后僅幾秒就可以加入網(wǎng)絡(luò)釣魚教育。免費(fèi)會(huì)員能享受多項(xiàng)優(yōu)惠（其中包括100多種模板可供選擇），成為付費(fèi)會(huì)員后會(huì)有更多優(yōu)惠。有關(guān)會(huì)員計(jì)劃的更多信息，請(qǐng)點(diǎn)擊 這里 。

2. Gophish

Gophish是一個(gè)開源平臺(tái)，用戶可在下載后提取ZIP文件夾，將其安裝在大多數(shù)操作系統(tǒng)中。功能不多，但是實(shí)現(xiàn)得很漂亮。軟件包中未提供任何釣魚郵件模板，但新建起來(lái)很容易，可借助于社區(qū)支持的內(nèi)置庫(kù)實(shí)現(xiàn)。還支持通過(guò)CSV文件新增用戶，輕松點(diǎn)擊幾下便可模擬攻擊。生成的報(bào)表形式美觀，內(nèi)容翔實(shí)。不過(guò)，缺點(diǎn)是缺少教育組件和定時(shí)攻擊特性。

3. Sptoolkit

Sptoolkit是另一個(gè)開源項(xiàng)目，為實(shí)體提供網(wǎng)絡(luò)釣魚培訓(xùn)和教育工具包。利用其開發(fā)的簡(jiǎn)單框架，組織可識(shí)別其人員中的薄弱環(huán)節(jié)。2013年時(shí)工具曾停止維護(hù)，后來(lái)成立新的項(xiàng)目組，使工具起死回生。工具的GIT頁(yè)面提供完整的安裝指南。

4. LUCY

LUCY有一個(gè)免費(fèi)版本，任何人填寫郵件地址和姓名后均可下載，以Debian安裝腳本或虛擬設(shè)備形式運(yùn)行。LUCY作為社會(huì)工程平臺(tái)，提供給用戶的不僅僅是反釣魚意識(shí)、教育和利用測(cè)試。雖然社區(qū)版工具不錯(cuò)，但要體驗(yàn)工具的真正好處還是應(yīng)該使用企業(yè)版。付費(fèi)版本的軟件提供的特性包括文件附件攻擊性能、攻擊行動(dòng)安排以及攻擊統(tǒng)計(jì)導(dǎo)出。

5. King Phisher

King Phisher是SecureState的開源反釣魚方案。這是 級(jí)的工具之一，具有許多突出特性，如獲取被釣魚用戶的位置、同時(shí)發(fā)起多個(gè)攻擊以及Web克隆能力。此外，它還為服務(wù)器頁(yè)面和消息提供了模板庫(kù)。King Phisher只能安裝在Linux系統(tǒng)中，且安裝過(guò)程復(fù)雜。

6. SpearPhisher

SpearPhisher是TrustedSec開發(fā)的一款比較簡(jiǎn)單的工具，可用于生成釣魚郵件。其組件包括：

• 用于新建和管理任務(wù)的Web應(yīng)用
• 發(fā)送郵件的SMTP服務(wù)器
• 用以追蹤響應(yīng)的瓶子（Bottle）Web程序

工具界面越來(lái)越直觀，以方便非技術(shù)用戶使用，且嚴(yán)格基于Windows搭建。GIT庫(kù)頁(yè)面提供安裝指南以及其他信息。

7. 綠盟郵件釣魚測(cè)試平臺(tái)

綠盟科技摒棄了傳統(tǒng)說(shuō)教式的安全意識(shí)提升方式；提出-“實(shí)戰(zhàn)演練式”的技術(shù)創(chuàng)新；國(guó)內(nèi)率先推出 “勒索釣魚演練平臺(tái)”。該平臺(tái)具有以下能力（不限于）：

• 模擬發(fā)送釣魚郵件
• 模擬發(fā)送勒索郵件
• 統(tǒng)計(jì)演練效果，員工安全意識(shí)可視化

平臺(tái)還可以通過(guò)自定義郵件模擬較新的勒索變種，定向測(cè)試了解單位某部門或某部分員工的意識(shí)形態(tài)；通過(guò)反復(fù)測(cè)試的方式，輔助以安全教育，提升安全警惕性和辨別能力，防患于未然。

反釣魚意識(shí)博客及其他資源

有些博客專門用于培養(yǎng)反釣魚意識(shí)，有些網(wǎng)站定期分享反釣魚相關(guān)信息。

1. Anti-phishing.org

反釣魚工作組（APWG）在自己的網(wǎng)站上宣稱自己是“國(guó)際聯(lián)盟組織，為各行業(yè)、政府與執(zhí)法部門、非盈利組織等提供網(wǎng)絡(luò)犯罪方面的全球統(tǒng)一響應(yīng)”。網(wǎng)站上資料豐富，可用于培養(yǎng)各種人群的反釣魚意識(shí)。

2. Phishing.org

Phishing.org網(wǎng)站同樣有許多資源可供用戶瀏覽，為用戶提供幫助。該專業(yè)網(wǎng)站既有關(guān)于網(wǎng)絡(luò)釣魚騙局的討論，也提供各種反釣魚工具和軟件，為用戶的反釣魚活動(dòng)提供大力支持。

3. Phishme 博客

Phishme.com自建立以來(lái)，長(zhǎng)期為全球客戶提供反釣魚方案。網(wǎng)站還有一個(gè)博客用于分享反釣魚意識(shí)方面的信息以及各種網(wǎng)絡(luò)安全新聞和事件。

4. Digital Guardian 博客

Digital Guardian同樣有一個(gè)博客經(jīng)常提供反釣魚意識(shí)方面的信息。

5. TraceSecurity 博客

TraceSecurity的旗艦產(chǎn)品Tracephishing模擬器是一款必備釣魚模擬器，具有多種有用特性。若想追蹤較新技術(shù)，可密切關(guān)注TraceSecurity博客。

舉報(bào)網(wǎng)絡(luò)釣魚事件

令人欣慰的是，全世界都在認(rèn)真對(duì)待網(wǎng)絡(luò)釣魚。從在線銀行賬戶到郵件服務(wù)提供商再到信用卡公司，許多商用產(chǎn)品和服務(wù)都在自己的網(wǎng)站上提供了版塊供用戶舉報(bào)可疑郵件。還有許多網(wǎng)站專門用于舉報(bào)網(wǎng)絡(luò)釣魚網(wǎng)站和可疑郵件，包括：

1. 谷歌的 SafeBrowsing 網(wǎng)站

谷歌有一個(gè)專門網(wǎng)頁(yè)供用戶舉報(bào)釣魚網(wǎng)站。點(diǎn)擊 這里 訪問(wèn)網(wǎng)頁(yè)。

2. 美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組

美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組（US-CERT）只有一個(gè)目標(biāo)：在需要技術(shù)援助的緊急情況下隨時(shí)可用。若想舉報(bào)網(wǎng)絡(luò)釣魚行動(dòng)或網(wǎng)站，可發(fā)送郵件至phishing-report@us-cert.gov。更多信息，請(qǐng)點(diǎn)擊 這里 。

3. IRS的釣魚舉報(bào)支持

美國(guó)國(guó)內(nèi)稅務(wù)局（IRS）網(wǎng)站同樣提供反釣魚意識(shí)方面的信息。遇到惡意事件時(shí)，可發(fā)送郵件至phishing@irs.gov。更多信息，請(qǐng)點(diǎn)擊 這里 。

4. 聯(lián)邦貿(mào)易委員會(huì)

聯(lián)邦貿(mào)易委員會(huì)（FTC）同樣了解網(wǎng)絡(luò)釣魚犯罪的嚴(yán)重性，在 網(wǎng)站 上對(duì)其進(jìn)行了廣泛討論。用戶可發(fā)送郵件至spam@uce.gov舉報(bào)FTC相關(guān)網(wǎng)絡(luò)釣魚活動(dòng)。

5. 賽門鐵克

賽門鐵克擁有諾頓殺毒軟件和多種其他的網(wǎng)絡(luò)安全產(chǎn)品，也提供 專門網(wǎng)頁(yè) 供用戶舉報(bào)釣魚網(wǎng)站。

釣魚郵件防御思路

網(wǎng)絡(luò)釣魚攻擊一旦成功，后果難料。根據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)釣魚攻擊在過(guò)去的幾年間呈指數(shù)級(jí)增長(zhǎng)。各公司當(dāng)務(wù)之急是劃撥預(yù)算進(jìn)行 網(wǎng)絡(luò)培訓(xùn)和釣魚安全意識(shí)培養(yǎng) 。上述工具及資源足以讓員工了解網(wǎng)絡(luò)釣魚的潛在威脅以及規(guī)避方法。

當(dāng)然，總有不相信的，任何組織中勒索攻擊的突破口往往來(lái)自于安全意識(shí)不強(qiáng)的部門，把全部賭注壓在人的方面，顯然不靠譜。針對(duì)網(wǎng)絡(luò)釣魚、APT攻擊、勒索軟件，國(guó)內(nèi)外安全界曾經(jīng)提出了多種不同的檢測(cè)或預(yù)防技術(shù)，安全廠商往往使用這些方法的組合來(lái)進(jìn)行分析監(jiān)測(cè)，這些技術(shù)包括：

• 采用深度包檢測(cè)進(jìn)行網(wǎng)絡(luò)分析，如：

   

   

   

  • 網(wǎng)絡(luò)通信分析
  • 多層網(wǎng)絡(luò)流量異常、行為檢測(cè)、事件相關(guān)性
  • 枚舉異常IP流量（如：基于RFC等標(biāo)準(zhǔn)）
  • 惡意主機(jī)、URL基于文件信譽(yù)體系
  • 惡意軟件的命令和控制通道檢測(cè)
• 自動(dòng)文件靜態(tài)分析

   

   

   

  • 自動(dòng)分離、解析文件對(duì)象
  • 檢測(cè)嵌入的可執(zhí)行代碼
  • 檢測(cè)逃避技術(shù)，如封裝、編碼及加密等
• 基于可視化、報(bào)警等進(jìn)行手動(dòng)分析

   

   

   

  • 惡意行為可視化及其分析報(bào)告
  • 可視化詳細(xì)的網(wǎng)絡(luò)流量，并關(guān)聯(lián)威脅、信譽(yù)與風(fēng)險(xiǎn)級(jí)別
  • 網(wǎng)絡(luò)流量或完整的數(shù)據(jù)包捕獲上的取證分析

以上方式在使用中被發(fā)現(xiàn)了多個(gè)問(wèn)題，包括誤報(bào)率高、大量漏報(bào)，也包括對(duì)安全管理人員的要求過(guò)高，以至于大多數(shù)組織無(wú)法使產(chǎn)品發(fā)揮預(yù)想的檢測(cè)作用。因而這些技術(shù)方式?jīng)]有被市場(chǎng)廣泛認(rèn)可。直到以FireEye公司為代表的基于虛擬執(zhí)行技術(shù)的產(chǎn)品出現(xiàn)。這類產(chǎn)品易于部署管理、可以忽略的誤報(bào)率、及時(shí)檢測(cè)未知威脅，因此受到了客戶的廣泛認(rèn)可，產(chǎn)品市場(chǎng)占有率也獲得了較快的突破和發(fā)展。Gartenr組織的研究表明采用擬執(zhí)行或模擬環(huán)境的檢測(cè)方法是一種先進(jìn)的郵件安全監(jiān)測(cè)技術(shù)并且可作為傳統(tǒng)郵件安全網(wǎng)關(guān)檢測(cè)方式的有益補(bǔ)充。

• 沙箱技術(shù)是Gartner提出阻斷郵件威脅的高級(jí)技術(shù)和方法

該方法利用一個(gè)操作系統(tǒng)或?yàn)g覽器實(shí)例，發(fā)起建立一個(gè)虛擬的執(zhí)行容器（或者稱為一個(gè)沙箱），使惡意軟件和惡意鏈接在其中執(zhí)行，就像在真實(shí)的用戶環(huán)境一樣。這種方式可以有效的郵件正文中的惡意鏈接以及郵件附件中的含有未知惡意代碼的文檔（如office文檔、PDF、可執(zhí)行文件、腳本文件等）進(jìn)行檢測(cè)。通過(guò)這種方式，安全產(chǎn)品和技術(shù)人員可以對(duì)整個(gè)攻擊生命周期進(jìn)行觀察，從較初的漏洞利用，隨后與命令控制服務(wù)器的通信，下載進(jìn)一步的惡意可執(zhí)行文件以及隨后的網(wǎng)絡(luò)回調(diào)。這種檢測(cè)技術(shù)因?yàn)榭梢詸z測(cè)漏洞利用階段的惡意軟件行為，因此避免了其它只檢測(cè)后期階段活動(dòng)產(chǎn)品的漏報(bào)（這個(gè)階段是可以采用加密等一系列方式進(jìn)行逃避）。并且因?yàn)楸O(jiān)測(cè)是基于一個(gè)高度近似真實(shí)用戶環(huán)境的惡意軟件的真實(shí)活動(dòng)的，因此誤報(bào)率極低。良好的漏報(bào)率和誤報(bào)率指標(biāo)是這種基于虛擬執(zhí)行環(huán)境或者沙箱的檢測(cè)技術(shù)成為郵件安全中應(yīng)對(duì)高級(jí)可持續(xù)威脅監(jiān)測(cè)的較新和較重要的技術(shù)手段。

綠盟郵件威脅分析系統(tǒng)， 英文名稱為NSFOCUS Threat Analysis Center for Email （簡(jiǎn)稱 TAC-E ）， 該產(chǎn)品是專門檢測(cè)郵件高級(jí)威脅的網(wǎng)絡(luò)沙箱類安全產(chǎn)品。該產(chǎn)品主要針對(duì)包含未知威脅代碼的魚叉APT攻擊和勒索軟件兩大類高級(jí)郵件威脅。

定向的郵件APT攻擊為魚叉攻擊，勒索軟件是通過(guò)釣魚郵件的方式，引誘用戶點(diǎn)擊中招。

魚叉APT威脅和勒索軟件，這兩種主要的未知惡意軟件威脅，是TAC-E主要進(jìn)行檢測(cè)和防護(hù)的對(duì)象。TAC-E接收到可疑的郵件，會(huì)對(duì)其中的惡意URL和附件進(jìn)行安全檢測(cè)，在執(zhí)行沙箱檢測(cè)分析后，如確認(rèn)沒(méi)有安全風(fēng)險(xiǎn)才將郵件往后端的郵件服務(wù)器進(jìn)行投遞。因此，TAC-E在用戶已有郵件安全網(wǎng)關(guān)的同時(shí)，可為用戶的郵件提供第二道的安全檢測(cè)和防護(hù)。 詳情見(jiàn)這里

西數(shù)科技: 司法鑒定/產(chǎn)品質(zhì)量鑒定/檢驗(yàn)檢測(cè)/數(shù)據(jù)恢復(fù)專家. 4006184118