钓鱼简史

“高端的猎手往往采用最朴素的攻击方式。”

网络钓鱼，这种“古老”的攻击方式，从20世纪90年代至今“经久不衰”，伴随时代技术的迭代不断“进化”，至今仍然困扰着无数企业。

网络钓鱼攻击的核心是仿真，用技术手段伪造以假乱真的邮件或网站，让受害者“自愿”上交敏感信息。最早的案例出现在1995年，慢慢发展到今天，演化成一种“先进”的黑客技术叫做“验证码发一下”。

从意外中奖、网购退款、快递丢失、核酸异常……再到最近的周董NFT被盗，网络钓鱼虽老生常谈，但防不胜防。这些恶名昭著的网络钓鱼究竟是什么？它是怎么出现的，为什么能够屡屡冲破防线，就连名人巨星、大型企业都时常被“钓”得措手不及，又可能以什么方式来侵害我们的信息安全？

网络钓鱼手段迭代升级

1995年的一天，一些用户收到来自了自称“AOL（美国在线）工作人员”的邮件，要求其回复“确认账号”及“核对账单信息”等内容。而有些用户不加怀疑地发送了自己的信息，并透露了账户密码。

这正是最初阶段的网络钓鱼的手法，钓鱼者伪装身份骗取用户的信息。在获得了用户账户后，钓鱼者可以利用受害人的账户进行诈欺或者发送垃圾邮件。

为了避免这种手段的蔓延，AOL在其所有即时通信工具上加了一行声明：“不会有任何员工询问您的密码或者账单信息。”这句在今天随处可见的提示语，成为对抗网络钓鱼的重要一步。

到了2001年，网络钓鱼者开始尝试攻击在线支付系统，尽管他们对E-gold的攻击以失败告终，但这次事件似乎给了他们极大的“鼓励”。他们意识到，相比较获取一般的电子邮箱账户或网站账户，普通人的金融、银行账户显然更具“经济”价值。至此，网络钓鱼的第二阶段，开始转向金融领域。

后来短短几年时间，国内外都相继出现欺骗性极高的银行克隆网站，通过向其客户发送具有欺骗性的电子邮件，引诱他们输入敏感信息。

图片

精心伪装是钓鱼网站的初级手段，更上一层楼的方式是直接用病毒攻击。一个著名的案例是2009年震惊世界的“银行劫持案”， 巴西的一家互联网服务提供商NET Virtua遭到了DNS缓存中毒攻击，导致巴西最大银行Bandesco大量客户被引导到仿冒网站，钓鱼者以此窃取密码并安装恶意软件。

网络钓鱼做嫁衣，向关键基础设施进行勒索攻击

最初的“钓鱼”，只是想通过盗窃的方式获取用户信息，以此牟利，但“盗窃”往往不会百分百奏效。为了获取更大的“利益”，网络钓鱼开始与勒索软件捆绑在一起。用户一旦好奇点进钓鱼链接，自己的设备就可能沦为勒索软件索要赎金的“肉鸡”。

2017年，WannaCry勒索病毒全球爆发，这场勒索风暴席卷了全球150个国家30万台电脑，造成损失达80亿美元，已经影响到金融、能源、医疗等众多行业，造成严重的危机管理问题。国内部分Windows操作系统用户遭受感染，严重影响正常学术与工作。

尽管WannaCry勒索病毒并非使用钓鱼邮件，而是通过漏洞攻击蠕虫。但是这个案例给了网络钓鱼“新的启发”。

2021年，Cloudian发布了一项针对过去两年经历过勒索软件攻击的200名IT决策者调查报告。报告显示，通过网络钓鱼方式遭遇勒索软件的受访者占比近25%，被勒索软件攻击后造成的财务损失总体平均接近50万美元。55%的人表示他们最终支付了赎金，平均赎金成本为22.3万美元。近15%的人表示他们支付了50万美元或更多。但即使在付款后，也只有57%的人取回了所有数据。

此后，勒索病毒又持续不断演变出各种版本和类型，并在疫情催化下于2021年达到爆发高峰。数据显示，2021年勒索市场总额超过200亿美元，单笔最高赎金达4000万美元，关键基础设施、供应链和医疗行业等成为勒索攻击的主要目标。尤其针对公共卫生机构，攻击者利用疫情相关类文档进行诱饵攻击和钓鱼攻击，窃取疫情相关情报或获取经济利益，对疫情防控造成极大威胁。

已知网络钓鱼的13种常见类型：

• 第1类：网络钓鱼：普通群发电子邮件
• 第2类：鱼叉式网络钓鱼：追求特定目标
• 第3类：捕鲸：追逐大家伙
• 第4类：商业电子邮件诈骗：冒充领导
• 第5类：克隆钓鱼：来自真实的复制
• 第6类：语音网络钓鱼：通过电话进行网上诈骗
• 第7类：短信欺诈：通过短信钓鱼
• 第8类：雪靴：传播骚扰讯息
• 第9类：灯笼式钓鱼：飞蛾扑火的欺骗
• 第10类：域名欺骗 ：相仿的域名
• 第11类：恶意孪生：假冒WiFi
• 第12类：水坑攻击：埋伏之地
• 第13类：DNS下毒：错误的路标

安全前置，构建立体安全防御

网络钓鱼至今已经存在超过25年，不可否认它仍然是一种“有效”的网络攻击技术。其屡试不爽的原因，正是凯文·米特尼克在《反欺骗的艺术》中指出的“人为因素是安全的软肋”。

网络安全的本质是攻防，核心是人与人的对抗。而社会工程学攻击可以说是一种绕过网络安全技术防护体系，直接利用人性的弱点进行突破的方法。黑产们往往会通过对受害者心理弱点、好奇心、信任、贪婪等心理设计陷阱，甚至利用AI算法、大数据等方法对目标展开攻击。但大多数企业在投入大量资金进行企业安全建设时，往往容易忽视人这一普遍但关键的因素。相关报告显示，42%的员工承认，自己在上网时采取了危险行动，如单击未知链接、下载文件或暴露个人数据，未遵循网络钓鱼预防最佳实践等。

图片

而通常员工的一个危险行动将让网络钓鱼者找到可趁之机，而网络钓鱼攻击又将为其他攻击者打开企业的网络大门，接踵而来的可能会是加密劫持、数据外泄，甚至是金融窃取。

对此，腾讯安全专家建议，企业可以从技术和员工安全意识两个层面来有效防范钓鱼攻击。在技术上，可以部署零信任、全流量的态势感知、终端安全防护、安全威胁情报、安全邮件网关等相关的安全产品；在安全意识上，可进行安全意识的培训，按员工岗位分类制订可持续的培训计划。一旦发现钓鱼或可疑事件时，及时反馈给企业的IT或安全部门进行快速止损或实施预防补救措施。

在加速构建的数字化新场景下，传统的“补锅”式安全防御思路，即将重点放置在被动建立防御系统，事后补救处置，基本无法应对数字变革的几何级增长速度。企业应该从组织管理到IT基础设施构筑起立体的防御体系，将安全前置部署最大限度规避攻击风险、降低攻击损失。

无论是一句提示语，还是技术上的零信任，在捍卫美好网络世界的安全持久战中，对抗网络钓鱼或许只是开始。

参考资料：

Gupta, B. B., Tewari,A., Jain, A. K., & Agrawal, D. P. (2017). Fighting against phishingattacks: state of the art and future challenges. Neural Computing andApplications, 28(12), 3629-3654.

https://www.getcybersafe.gc.ca/en/resources/history-phishing 

https://www.phishing.org/history-of-phishing