关于“钓鱼邮件防护”实践心得

2022-03-19李鹏

网络安全技术与应用 2022年1期

◆李鹏

关于“钓鱼邮件防护”实践心得

◆李鹏

（重庆长安汽车股份有限公司重庆 401133）

网络钓鱼邮件是一种通过伪造亲戚、朋友、领导、同事、合作伙伴身份，向被攻击者发送恶意诱导或者诈骗邮件，促使被攻击者主动点击其中恶意地址或者执行不明附件，从而感染木马或者病毒，或被诱导进间接的网络诈骗。笔者从工作实践入手，对钓鱼邮件特性进行了分析，并对常用的防范思路和方法进行了探讨，期望能够对邮件安全和企业信息安全提供些许助力。

钓鱼邮件；网络安全；防范措施

1 引言

钓鱼邮件是一种典型的社会工程学攻击手段，区别于其他的网络安全攻击事件和手段，钓鱼邮件在第一次与受攻击方接触时不涉及破解、破坏、暴力入侵、病毒、木马等技术手段，而是通过伪造亲朋好友、合作伙伴、同事领导等身份，向被攻击方发送恶意邮件，诱导被攻击方点击邮件链接或者下载运行附件，从而完成病毒木马的传播或者进行间接网络诈骗。由于钓鱼邮件本身并不具备威胁性，反而被攻击方薄弱的安全防护意识是其生效的主要原因。笔者将基于工作实践，对钓鱼邮件的诸多特性进行探讨，并结合本单位实践对钓鱼邮件防护的实践进行探讨，期望为钓鱼邮件防护工作提供帮助。

2 钓鱼邮件的特点及攻击流程

2.1 钓鱼邮件特点

钓鱼邮件本质是一种网络诈骗，因此其通常是利用人们的心理弱点来实现诱导攻击。钓鱼邮件大致具备如下几个特点：

（1）欺骗性

钓鱼邮件往往是伪造某些真实存在的实体，并用常规的语言或形式让被攻击者具备心理认同感，从而方便其后续攻击的实现。因此钓鱼邮件普遍具备欺骗性。

（2）针对性

钓鱼邮件通常具备一定的针对性，即邮件仅针对个人或者某个特定群体。由于其欺骗主要是通过伪造人的社会关系，因此其针对性就体现在每个钓鱼邮件都必须适当贴合被攻击方的特点。

（3）多样性

钓鱼邮件从不会是从一而终的，而是会变换多种类型和形式，从不同角度、领域针对被攻击者构建欺骗性信息。甚至部分钓鱼邮件还会以工作、生活甚至经营、理财等为切入点，打着提供便利条件的旗号进行网络钓鱼。

（4）可识别性

钓鱼邮件并不是无懈可击的，通常来说只要足够细心和谨慎，钓鱼邮件是完全可以通过人为进行识别的。由于钓鱼邮件发出方并不可能100%伪造真实的发送信息，因此仅通过发出信息、链接信息以及附件类型就能够判断是否是钓鱼邮件。

2.2 钓鱼邮件攻击流程

通常来讲，钓鱼邮件每一批的攻击都是面向一个具体的群体进行的。通常来讲，其流程如下所述：

首先，通过非法手段获取到目标群体的电子邮件地址和一些显著的关系或者身份信息，例如通过入侵资料库获取到快递收件人资料信息、通过购买黑产获取到购房者或者银行客户的信息等等。

第二，通过向上述群体发送欺骗邮件，邮件中会罗列出邮箱账户对应人员的个人信息，以进一步降低被攻击人的防范心理。

第三，通过邮件信息引导被攻击人点击准备好的钓鱼网站或者其他恶意系统，或引导被攻击方打开上传的附件，从而传递恶意代码到目标计算机上，进行后续破坏或者窃取。

第四，通过钓鱼网站或恶意程序获取到被攻击方的用户名密码等信息后，攻击方进入另一套系统，凭借获取到的用户凭证信息进行进一步的侵害，例如消费、垃圾信息发送。也可能根据植入的病毒或者木马，使得被攻击方计算机成为肉鸡，供其进行下一次攻击使用。

3 钓鱼邮件防范应对措施及实践方法

“钓鱼邮件”主要利用了人这个最薄弱的环节，诱使其做出攻击者希望的操作，是最容易实施和快速见效的攻击方式。这里对常见的防范措施进行探讨。

3.1 提高全员钓鱼邮件防范能力

要对钓鱼邮件进行防范，首先需要向面向用户进行钓鱼邮件的防范培训宣传，一方面将常见的钓鱼邮件的攻击方式传达给用户，并教授钓鱼邮件的甄别方法，另一方面应当将遇到钓鱼邮件后的处理和上报方法告知用户。为确保培训和宣传效果，使得团体或企业内部员工具备基本的防范意识，掌握钓鱼邮件识别方法，通常可以选择如下几种形式：

（1）周期性培训

为确保用户具备钓鱼邮件自我识别的能力，由企业信息安全部门负责拟定钓鱼邮件识别教程，并在企业内部展开周期性的培训工作。培训目标是，让全员了解钓鱼邮件的攻击形式、特点以及识别要点，确保各个成员能够对钓鱼邮件进行有效辨别。同时，针对邮件安全防护制度进行制定和培训，要求全员在使用邮件系统时，遵守邮件使用的规范。

（2）常态化宣传

钓鱼邮件的攻击实际上一定程度也依托人们的侥幸意识和疏于防范的心理。因此在团体或企业内部应当对钓鱼邮件相关内容进行常态化宣传，在不断为各成员敲响信息安全警钟的同时，对新型的钓鱼邮件和受攻击案例进行宣传，以加深各成员对于钓鱼邮件的印象，确保全员时刻具备防范意识。

（3）定期演习实践

基于周期性的培训，全员应当具备基本的钓鱼邮件防范能力，并掌握钓鱼邮件发现及处置规范。为确保培训和宣传效果，应当定期开展演习演练，将典型的和最新的钓鱼案例设置进演习中。同时，将演习纳入考核，掌握全员对于钓鱼邮件的识别能力和处置正确性，以动态调整宣传和培训方案。

3.2 积极应用先进的防范技术

在人员意识提升的同时，也应当通过技术升级实现更加精准和智能化的钓鱼邮件防范。常见的钓鱼邮件防范技术有：

（1）基于关键字检索的钓鱼邮件过滤：通过对钓鱼邮件的邮件头、邮件体的内容及格式进行分析，可以总结出诸多钓鱼邮件共有的关键词。例如：支付系统诈骗的钓鱼邮件，常出现“verify”、“pay”、“bank”等关键词，对于此类邮件则可以进行高危标记，并进行进一步的分析。通过收集此类关键词，构建关键词数据库，可以对钓鱼邮件进行初步筛查。

（2）利用垃圾邮件防护功能进行钓鱼邮件防范：垃圾邮件防护通常是电子邮件系统提供的功能，电子邮件系统对于垃圾邮件判断的标准较为复杂，包括不受信任的域名、伪造的地址信息等，乃至于在系统中频繁出现的邮件正文内容，都有可能是垃圾邮件的判别依据。而绝大部分钓鱼邮件都符合垃圾邮件的特征，因此垃圾邮件能够有效防范钓鱼邮件。如果垃圾邮件的鉴别是针对企业环境的，则其钓鱼邮件的甄别效果更好。

图1 钓鱼邮件检测逻辑

（3）利用机器学习进行钓鱼邮件识别：钓鱼邮件因具备典型特征，因此机器学习也适用于该领域，一方面更加精准，另一方面识别速度快效率高。利用机器学习进行鉴别，实际上是对分类器进行训练，并由分类器鉴别钓鱼邮件真伪，反馈给用户。分类器通过加载一系列的已经从钓鱼邮件中提取出来的特征向量，不断训练自身的分类能力，并不断利用样本校正分类结果，最终对分类器进行应用，输入目标邮件，即可输出判断结果。其核心逻辑如图1所示。

（4）提升终端的防护能力：通过安装桌面杀毒软件或者防火墙，在钓鱼邮件中恶意软件或恶意连接被用户调用或访问的时候，及时阻止用户行为并终止文件执行。通过这样的方式，虽然不能做到钓鱼邮件的事前发现，但可以做到事中防御和即时处理。

3.3 建立机构内部钓鱼邮件响应和联动处理机制

钓鱼邮件不仅仅是面向个人，更是威胁到了团体的信息系统安全。因此应当建立一套针对内部的钓鱼邮件响应和联动处理机制。该机制应当包括如下关键动作或步骤：

（1）实时上报和响应

当钓鱼邮件被发现时，发现方通过内部通道即时向系统安全管理人员上报，安全管理人员需要在最短时间内予以响应，并开启后续的钓鱼邮件处置动作。

（2）日常筛查

除去用户主动上报的钓鱼邮件外，安全管理部门应当周期性对全员邮件进行筛查，一旦发现钓鱼邮件，同样触发应急响应机制。

（3）联动处置

对于上报或筛查获得的疑似钓鱼邮件，迅速启动联动处置方案，一方面对包括邮件管理员、终端管理员、各部门管理人员及终端用户进行告知，各方同步进行应急处置，将可能的威胁缩小到一定范围内，等待最终研判结果。

（4）研判

安全管理部门收到钓鱼邮件样本后，通过人工判断和软件评估，对样本进行研判，确认是否为钓鱼邮件。一旦被判别为钓鱼邮件，即触发预警。

（5）预警上报

当确认发生钓鱼邮件攻击后，安全管理部门应当通过即时通信工具和公告形式对全员发出预警，提醒全员注意钓鱼邮件甄别和防范。

（6）分析与处置

针对钓鱼邮件，记录附件、内容、发件方等关键信息，首先将发件方纳入黑名单，并将相应的关键词和邮件样本提交到反垃圾邮件中心，以加强反垃圾邮件对于钓鱼邮件的处置效果。同时对于附件文件进行病毒查杀和样本上报，确保企业内部具备针对病毒的免疫能力。对带有链接的钓鱼邮件，在内部网关增加外部访问限制策略，截断内部对恶意连接的访问。

（7）观察处置结果

处置完成后，在未来一段时间内持续关注同类钓鱼邮件是否还会产生，以及系统是否有对外的木马回连、病毒传播等行为，以评估此次处置是否完善妥当。