绒绒说安全：带你了解鱼叉式网络钓鱼攻击

今年中秋节前夕，为增强师生安全意识，中科大进行了一次钓鱼邮件演练，校内4万多师生均收到了 “中秋免费月饼领取”的邮件。据悉，访问测试钓鱼网站的人数高达8000人次。此外，包括北大和清华在内的多所高校也进行过钓鱼邮件演练。

今年1-8月火绒安全产品【邮件监控功能】共拦截钓鱼邮件44.1万次。网络钓鱼攻击已经成为目前最常见且成功率极高的攻击手段之一。同时，黑客用于网络钓鱼的攻击手段也在不断变化。今天我们就带大家来了解下网络钓鱼的一种特殊类型：鱼叉式网络钓鱼攻击（以下简称鱼叉攻击）。

鱼叉攻击的定义

鱼叉攻击（Spear phishing）：是针对某特定组织内部的个人或团体进行的网络钓鱼攻击。不同于普通钓鱼邮件使用相同内容广撒网，鱼叉邮件是精心准备，经过“定制化”的攻击邮件。

定制化的过程

那么，鱼叉邮件是如何进行定制化的呢？黑客会在攻击前投入大量的时间去了解目标，并利用社工手段收集相关信息，使邮件模板更加成熟、精准且具有较强的欺骗性。然后将定制带有恶意附件/链接的电子邮件发给目标，与此同时，还会通过加密等手段绕过邮件过滤器。目标一旦下载或点击附件，恶意程序/病毒就会立即执行，为黑客的进一步渗透攻击做准备。

以人力资源部为例。该部门员工会收到应聘者大量投递的简历，因此收到一份来源不明的电子邮件是很平常的事，当员工点击或下载附带的文件时，也不会有所怀疑。

会计部门同样是常见的攻击目标。该部门除了日常的银行转账外，还会与承包商、监管机构及税务部门等各种机构打交道，因此很有可能打开以“税务部门”或者“银行”为名义发送的鱼叉邮件。

综上述，鱼叉攻击具有易利用、实施成本低、高精准度、强隐蔽性的特点，受害者在不知情的情况下，一次简单的点击，就可以为黑客开启一扇实施攻击的“任意门”。因此鱼叉攻击也深受黑客组织的青睐：

2018年韩国平昌奥运会遭到Hades黑客组织的攻击，导致其官方网站宕机。

2019年全球大使馆遭到来自俄罗斯黑客发动的鱼叉式网络钓鱼攻击。

2021年黑客利用以微软为主题的鱼叉式钓鱼邮件，瞄准多个企业的高级员工。

此外，有研究显示，有 91% 的APT攻击事件中采用了鱼叉攻击。

尽管鱼叉攻击手段很有效，但它并非是黑客进行网络钓鱼攻击的唯一手段，还有专门针对CEO/CFO等最高决策层发送定制邮件的“鲸钓攻击”；伪装成政府机构、银行或其他公司/组织向受害者发送虚假短信的“短信钓鱼”；复制以前由受信任组织发送的合法邮件，利用虚假替换原始真实链接的“克隆邮件网络钓鱼”…….在这里我们就不一一举例了，有兴趣的小伙伴可以搜索相关词条进行详细了解~

防范建议

各种网络钓鱼手段层出不穷，信息安全也面临着巨大的风险，因此我们需要加强防范意识，提前做好安全部署，尽可能的降低黑客利用邮件进行渗透攻击的风险。

• 启用多因素身份验证，并定期更换密码；
• 提高安全意识，对于收到的长名邮件，一定要谨慎核实发件人的邮件域名，以及其他违规行为，在检查网站的安全性之前，尽量避免输入敏感信息；
• 安装火绒等安全软件、防火墙或电子邮件过滤器，定期对重要数据备份，养成良好的习惯,尽量不要在网上留下自己身份的任何资料；
• 不随意点击邮件中的链接，未知附件不轻易下载。

下期大家还想了解哪些内容呢，

快来留言区说说吧~