• 第一類主要通過漏洞觸發(fā)，包括目標網(wǎng)站服務器漏洞（如XSS、SQL注入），第三方引用內(nèi)容的問題（如IFRAME掛馬），網(wǎng)站IT支撐環(huán)境相關的DNS、HTTPS、SMTP服務缺陷（如DNS劫持），以及客戶端終端環(huán)境存在的隱患，攻擊者利用這些漏洞結合社會工程學對受害者進行誘騙。
• 第二類攻擊手段則完全利用社會工程學的方式對受害者進行誘騙，如發(fā)送大量誘騙郵件、搜索引擎虛假信息，發(fā)布各類仿冒網(wǎng)站等。

什么是 釣魚郵件

釣魚郵件指利用偽裝的郵件，欺騙收件人將賬號、口令等信息回復給指定的接收者；或引導收件人連接到特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成和真實網(wǎng)站一樣，如銀行或理財?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。但近期勒索軟件攻擊事件中，又可以看到一種新的形式，即帶誘騙附件，誘惑受害者點擊，然后加密受害者電腦數(shù)據(jù)，索取贖金。

釣魚攻擊的特點

綠盟科技在《 反釣魚的整體防護思路 》中介紹到，釣魚攻擊較大的特征即是具有極大的欺騙性。攻擊者制作一個仿冒網(wǎng)站，類似于真實網(wǎng)站的克隆，再結合含有近似域名的網(wǎng)址來加強仿真度，進而進一步騙取用戶的信任。

• 欺騙性

網(wǎng)絡釣魚較大的特征即是具有極大的欺騙性。大家都已經(jīng)聽說過假幣，利用極度模仿的手法去偽造真實貨幣的樣貌，不管是什么角度來看都是和真實的沒有什么兩樣，網(wǎng)絡釣魚者可以利用自己的站點去模仿被釣網(wǎng)站的頁面，類似于克隆一樣，然后結合含有近似域名的網(wǎng)址來加強真實程度。更有甚者會先入侵一臺服務器，在服務器上面做相同的事情，讓自己可以更好的脫離其中，逃避追蹤以及調(diào)查。

• 針對性

我們可以在APWG（Anti-Phishing Working Group）的釣魚報告可以看出，通常與釣魚者緊緊相關的網(wǎng)站都是一些銀行、商業(yè)機構等等的網(wǎng)站機構，隨著互聯(lián)網(wǎng)飛速的發(fā)展，電子商務、網(wǎng)上購物已經(jīng)成為了和網(wǎng)民息息相關的服務。龐大的網(wǎng)絡資金流動，帶動了很多的新興行業(yè)，也帶來了潛在的安全隱患。網(wǎng)絡釣魚就是潛在當中較嚴重較令人頭痛的安全隱患。

• 結合性

我們正在使用的操作系統(tǒng)以及程序都會出現(xiàn)很多的安全隱患以及漏洞，釣魚者會利用這些漏洞從而來進行攻擊，例如：利用Internet Explorer的一些漏洞去構造連接地址，或者利用漏洞去種植間諜軟件或者鍵盤木馬等等。

• 多樣性

網(wǎng)絡釣魚一種針對人性弱點的攻擊手法，釣魚者不會千篇一律的去進行攻擊，不管是網(wǎng)絡、現(xiàn)實到處都存在著釣魚式攻擊的影子。釣魚者不會局限于常用的偽造網(wǎng)站，虛假郵件等等的手法，釣魚者會結合更多的便民服務，人性的貪婪去想象更多令人容易心動，容易受騙的形式去騙被釣者，從而在更短的時間內(nèi)得到較好的效果。

• 可識別性

網(wǎng)絡釣魚并不是無懈可擊，更加不是說可以完完全全的沒有破綻。從釣魚者的角度出發(fā)，釣魚者本身會利用較少的資源去構造自己的釣魚網(wǎng)站，因為無法去利用真實網(wǎng)站一些獨有的資源（例如：域名，USBKEY，數(shù)字驗證等等）所以，在偽造網(wǎng)站的方面，會利用近似或者類似的方法來進行欺騙，通常我們可以查看偽造網(wǎng)站以及根據(jù)經(jīng)驗去識別其真實性，當我們查看HTML源碼或者是一些獨有的資源時，我們就可以很容易看出虛假網(wǎng)站的真實性了。

雖然普通技術用戶警惕性越來越高，但釣魚事件仍層出不窮，影響范圍越來越廣。根據(jù)Wombat安全公司正式發(fā)布的報告 ，釣魚攻擊數(shù)量在過去的五年間呈增長趨勢；調(diào)查表明，22%的組織遭受過賬戶入侵，42%曾被惡意軟件感染，4%經(jīng)歷過由釣魚攻擊直接造成的數(shù)據(jù)丟失。當今黑客在仿真方面的精準度令人驚嘆，他們會偽裝成員工的熟人發(fā)送郵件，員工很容易上當，進而點擊惡意附件。反釣魚意識教育不僅應在企業(yè)層面還應該在個人層面進行。本文提供了網(wǎng)上可用的幾大反釣魚資源，希望組織和個人能從中受益。

下面，媒體整理了較為人熟知的幾大反釣魚和網(wǎng)絡教育工具：

反釣魚網(wǎng)站

1. SecurityIQ PhishSim

SecurityIQ不僅僅是網(wǎng)絡釣魚模擬器，它的培訓模塊互動性強，除了提供真實的網(wǎng)絡釣魚測試，還有定制課程，賦予了管理員完全的控制權?；A會員資質容易獲取，只需要填寫表格就可以搞定。該方案基于云，無需安裝，不需要配置服務器，也不用修改任何腳本。注冊后僅幾秒就可以加入網(wǎng)絡釣魚教育。免費會員能享受多項優(yōu)惠（其中包括100多種模板可供選擇），成為付費會員后會有更多優(yōu)惠。有關會員計劃的更多信息，請點擊 這里 。

2. Gophish

Gophish是一個開源平臺，用戶可在下載后提取ZIP文件夾，將其安裝在大多數(shù)操作系統(tǒng)中。功能不多，但是實現(xiàn)得很漂亮。軟件包中未提供任何釣魚郵件模板，但新建起來很容易，可借助于社區(qū)支持的內(nèi)置庫實現(xiàn)。還支持通過CSV文件新增用戶，輕松點擊幾下便可模擬攻擊。生成的報表形式美觀，內(nèi)容翔實。不過，缺點是缺少教育組件和定時攻擊特性。

3. Sptoolkit

Sptoolkit是另一個開源項目，為實體提供網(wǎng)絡釣魚培訓和教育工具包。利用其開發(fā)的簡單框架，組織可識別其人員中的薄弱環(huán)節(jié)。2013年時工具曾停止維護，后來成立新的項目組，使工具起死回生。工具的GIT頁面提供完整的安裝指南。

4. LUCY

LUCY有一個免費版本，任何人填寫郵件地址和姓名后均可下載，以Debian安裝腳本或虛擬設備形式運行。LUCY作為社會工程平臺，提供給用戶的不僅僅是反釣魚意識、教育和利用測試。雖然社區(qū)版工具不錯，但要體驗工具的真正好處還是應該使用企業(yè)版。付費版本的軟件提供的特性包括文件附件攻擊性能、攻擊行動安排以及攻擊統(tǒng)計導出。

5. King Phisher

King Phisher是SecureState的開源反釣魚方案。這是 級的工具之一，具有許多突出特性，如獲取被釣魚用戶的位置、同時發(fā)起多個攻擊以及Web克隆能力。此外，它還為服務器頁面和消息提供了模板庫。King Phisher只能安裝在Linux系統(tǒng)中，且安裝過程復雜。

6. SpearPhisher

SpearPhisher是TrustedSec開發(fā)的一款比較簡單的工具，可用于生成釣魚郵件。其組件包括：

• 用于新建和管理任務的Web應用
• 發(fā)送郵件的SMTP服務器
• 用以追蹤響應的瓶子（Bottle）Web程序

工具界面越來越直觀，以方便非技術用戶使用，且嚴格基于Windows搭建。GIT庫頁面提供安裝指南以及其他信息。

7. 綠盟郵件釣魚測試平臺

綠盟科技摒棄了傳統(tǒng)說教式的安全意識提升方式；提出-“實戰(zhàn)演練式”的技術創(chuàng)新；國內(nèi)率先推出 “勒索釣魚演練平臺”。該平臺具有以下能力（不限于）：

• 模擬發(fā)送釣魚郵件
• 模擬發(fā)送勒索郵件
• 統(tǒng)計演練效果，員工安全意識可視化

平臺還可以通過自定義郵件模擬較新的勒索變種，定向測試了解單位某部門或某部分員工的意識形態(tài)；通過反復測試的方式，輔助以安全教育，提升安全警惕性和辨別能力，防患于未然。

反釣魚意識博客及其他資源

有些博客專門用于培養(yǎng)反釣魚意識，有些網(wǎng)站定期分享反釣魚相關信息。

1. Anti-phishing.org

反釣魚工作組（APWG）在自己的網(wǎng)站上宣稱自己是“國際聯(lián)盟組織，為各行業(yè)、政府與執(zhí)法部門、非盈利組織等提供網(wǎng)絡犯罪方面的全球統(tǒng)一響應”。網(wǎng)站上資料豐富，可用于培養(yǎng)各種人群的反釣魚意識。

2. Phishing.org

Phishing.org網(wǎng)站同樣有許多資源可供用戶瀏覽，為用戶提供幫助。該專業(yè)網(wǎng)站既有關于網(wǎng)絡釣魚騙局的討論，也提供各種反釣魚工具和軟件，為用戶的反釣魚活動提供大力支持。

3. Phishme 博客

Phishme.com自建立以來，長期為全球客戶提供反釣魚方案。網(wǎng)站還有一個博客用于分享反釣魚意識方面的信息以及各種網(wǎng)絡安全新聞和事件。

4. Digital Guardian 博客

Digital Guardian同樣有一個博客經(jīng)常提供反釣魚意識方面的信息。

5. TraceSecurity 博客

TraceSecurity的旗艦產(chǎn)品Tracephishing模擬器是一款必備釣魚模擬器，具有多種有用特性。若想追蹤較新技術，可密切關注TraceSecurity博客。

舉報網(wǎng)絡釣魚事件

令人欣慰的是，全世界都在認真對待網(wǎng)絡釣魚。從在線銀行賬戶到郵件服務提供商再到信用卡公司，許多商用產(chǎn)品和服務都在自己的網(wǎng)站上提供了版塊供用戶舉報可疑郵件。還有許多網(wǎng)站專門用于舉報網(wǎng)絡釣魚網(wǎng)站和可疑郵件，包括：

1. 谷歌的 SafeBrowsing 網(wǎng)站

谷歌有一個專門網(wǎng)頁供用戶舉報釣魚網(wǎng)站。點擊 這里 訪問網(wǎng)頁。

2. 美國計算機應急準備小組

美國計算機應急準備小組（US-CERT）只有一個目標：在需要技術援助的緊急情況下隨時可用。若想舉報網(wǎng)絡釣魚行動或網(wǎng)站，可發(fā)送郵件至phishing-report@us-cert.gov。更多信息，請點擊 這里 。

3. IRS的釣魚舉報支持

美國國內(nèi)稅務局（IRS）網(wǎng)站同樣提供反釣魚意識方面的信息。遇到惡意事件時，可發(fā)送郵件至phishing@irs.gov。更多信息，請點擊 這里 。

4. 聯(lián)邦貿(mào)易委員會

聯(lián)邦貿(mào)易委員會（FTC）同樣了解網(wǎng)絡釣魚犯罪的嚴重性，在 網(wǎng)站 上對其進行了廣泛討論。用戶可發(fā)送郵件至spam@uce.gov舉報FTC相關網(wǎng)絡釣魚活動。

5. 賽門鐵克

賽門鐵克擁有諾頓殺毒軟件和多種其他的網(wǎng)絡安全產(chǎn)品，也提供 專門網(wǎng)頁 供用戶舉報釣魚網(wǎng)站。

釣魚郵件防御思路

網(wǎng)絡釣魚攻擊一旦成功，后果難料。根據(jù)統(tǒng)計，網(wǎng)絡釣魚攻擊在過去的幾年間呈指數(shù)級增長。各公司當務之急是劃撥預算進行 網(wǎng)絡培訓和釣魚安全意識培養(yǎng) 。上述工具及資源足以讓員工了解網(wǎng)絡釣魚的潛在威脅以及規(guī)避方法。

當然，總有不相信的，任何組織中勒索攻擊的突破口往往來自于安全意識不強的部門，把全部賭注壓在人的方面，顯然不靠譜。針對網(wǎng)絡釣魚、APT攻擊、勒索軟件，國內(nèi)外安全界曾經(jīng)提出了多種不同的檢測或預防技術，安全廠商往往使用這些方法的組合來進行分析監(jiān)測，這些技術包括：

• 采用深度包檢測進行網(wǎng)絡分析，如：

   

   

   

  • 網(wǎng)絡通信分析
  • 多層網(wǎng)絡流量異常、行為檢測、事件相關性
  • 枚舉異常IP流量（如：基于RFC等標準）
  • 惡意主機、URL基于文件信譽體系
  • 惡意軟件的命令和控制通道檢測
• 自動文件靜態(tài)分析

   

   

   

  • 自動分離、解析文件對象
  • 檢測嵌入的可執(zhí)行代碼
  • 檢測逃避技術，如封裝、編碼及加密等
• 基于可視化、報警等進行手動分析

   

   

   

  • 惡意行為可視化及其分析報告
  • 可視化詳細的網(wǎng)絡流量，并關聯(lián)威脅、信譽與風險級別
  • 網(wǎng)絡流量或完整的數(shù)據(jù)包捕獲上的取證分析

以上方式在使用中被發(fā)現(xiàn)了多個問題，包括誤報率高、大量漏報，也包括對安全管理人員的要求過高，以至于大多數(shù)組織無法使產(chǎn)品發(fā)揮預想的檢測作用。因而這些技術方式?jīng)]有被市場廣泛認可。直到以FireEye公司為代表的基于虛擬執(zhí)行技術的產(chǎn)品出現(xiàn)。這類產(chǎn)品易于部署管理、可以忽略的誤報率、及時檢測未知威脅，因此受到了客戶的廣泛認可，產(chǎn)品市場占有率也獲得了較快的突破和發(fā)展。Gartenr組織的研究表明采用擬執(zhí)行或模擬環(huán)境的檢測方法是一種先進的郵件安全監(jiān)測技術并且可作為傳統(tǒng)郵件安全網(wǎng)關檢測方式的有益補充。

• 沙箱技術是Gartner提出阻斷郵件威脅的高級技術和方法

該方法利用一個操作系統(tǒng)或瀏覽器實例，發(fā)起建立一個虛擬的執(zhí)行容器（或者稱為一個沙箱），使惡意軟件和惡意鏈接在其中執(zhí)行，就像在真實的用戶環(huán)境一樣。這種方式可以有效的郵件正文中的惡意鏈接以及郵件附件中的含有未知惡意代碼的文檔（如office文檔、PDF、可執(zhí)行文件、腳本文件等）進行檢測。通過這種方式，安全產(chǎn)品和技術人員可以對整個攻擊生命周期進行觀察，從較初的漏洞利用，隨后與命令控制服務器的通信，下載進一步的惡意可執(zhí)行文件以及隨后的網(wǎng)絡回調(diào)。這種檢測技術因為可以檢測漏洞利用階段的惡意軟件行為，因此避免了其它只檢測后期階段活動產(chǎn)品的漏報（這個階段是可以采用加密等一系列方式進行逃避）。并且因為監(jiān)測是基于一個高度近似真實用戶環(huán)境的惡意軟件的真實活動的，因此誤報率極低。良好的漏報率和誤報率指標是這種基于虛擬執(zhí)行環(huán)境或者沙箱的檢測技術成為郵件安全中應對高級可持續(xù)威脅監(jiān)測的較新和較重要的技術手段。

綠盟郵件威脅分析系統(tǒng)， 英文名稱為NSFOCUS Threat Analysis Center for Email （簡稱 TAC-E ）， 該產(chǎn)品是專門檢測郵件高級威脅的網(wǎng)絡沙箱類安全產(chǎn)品。該產(chǎn)品主要針對包含未知威脅代碼的魚叉APT攻擊和勒索軟件兩大類高級郵件威脅。

定向的郵件APT攻擊為魚叉攻擊，勒索軟件是通過釣魚郵件的方式，引誘用戶點擊中招。

魚叉APT威脅和勒索軟件，這兩種主要的未知惡意軟件威脅，是TAC-E主要進行檢測和防護的對象。TAC-E接收到可疑的郵件，會對其中的惡意URL和附件進行安全檢測，在執(zhí)行沙箱檢測分析后，如確認沒有安全風險才將郵件往后端的郵件服務器進行投遞。因此，TAC-E在用戶已有郵件安全網(wǎng)關的同時，可為用戶的郵件提供第二道的安全檢測和防護。 詳情見這里

西數(shù)科技: 司法鑒定/產(chǎn)品質量鑒定/檢驗檢測/數(shù)據(jù)恢復專家. 4006184118