钓鱼邮件攻击防范应对指南
发布时间: 2022-10-18     浏览次数: 2632

基本概念

     “网络钓鱼”是上世纪90年代中期兴起的一种网络诈欺行为,其中最主要的攻击手段就是“钓鱼邮件”。1996首先在美国发现,后迅速扩散到其他国家和地区。近几年,钓鱼邮件”攻击在我国呈现逐年上升,最常见的一种方式是:攻击者预先制作一个以假乱真的钓鱼网站,然后通过在电子邮件中植入钓鱼网站链接,引诱人们点击进入以假乱真的网站,骗取用户名、密码、个人信息等重要数据,或植入木马等恶意程序,从而导致遭受重大损失。该攻击方式往往包含社会工程学信息,欺骗性很强,人们很容易上当受骗。那么,什么是钓鱼邮件?如何识别钓鱼邮件?中招了怎么办?

(一)什么是钓鱼邮件

    钓鱼邮件是指攻击者伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户点击嵌入邮件正文的恶意链接或者打开邮件附件的恶意程序,进而窃取用户敏感数据、个人银行账户、邮箱账户和密码等信息,或者在设备上执行恶意代码以实施进一步的网络攻击活动。


(二)钓鱼邮件的危害

    钓鱼邮件通过隐含的恶意链接或附带的恶意程序,窃取用户重要个人信息或政府企业敏感信息,可能造成直接或间接经济损失,甚至危害国家安全。

三、钓鱼邮件主要攻击方式

    攻击者通过钓鱼邮件达成攻击目的主要有两种方式,第一种通过冒充权威机构或者与收件人有关联系人发送邮件,降低收件人戒心,提高打开钓鱼邮件可能性;第二种通过利用社会工程学或者暴力破解方式直接获得目标收件人邮箱账号凭据,之后收集目标收件人邮箱信息。从攻击手法来看,钓鱼邮件前期需要对目标收件人进行信息收集,通过社会工程学引导,利用人性弱点,提高收件人对钓鱼邮件的信任度,诱导收件人点击钓鱼邮件中的恶意附件或恶意链接。

(一)通过社会工程学提高信任度

    钓鱼邮件常常通过伪装身份发送电子邮件的方式进行,其伪装的身份包括但不限于:上级领导或上级单位、组织的信息网络管理人员、同事、有工作往来的其他组织的人员、银行、社保服务等外部服务,其目的主要是为了骗取收件人的信任,使其相信邮件内容的真实性,并按照邮件内容进行操作,从而达到其目的。如下图所示,其伪装成系统管理员骗取收件人的信任:


1伪装成系统管理员的钓鱼邮件


    钓鱼邮件会通过话术,进一步引导收件人填写内容。如下方钓鱼邮件,主题为“纪检委:通知”,邮件附件打开后显示一个表格,但是内容非常模糊无法识别,文档下方提示如看不清图片内容请复制链接到浏览器登录查看详情”,进一步引导用户复制钓鱼链接打开恶意网站,从而达到收集用户账户密码的目的。


2冒充纪检委通知的钓鱼邮件


3某钓鱼邮件正文

    攻击者还可能利用普通人对个人信息保护观念的缺失和人性弱点进行诱导。如给老年人发打折促销返券链接,给信用卡用户发提升额度或兑奖链接等。如图是主题为“【财政部】关于发布年终最新工资补贴通知”的钓鱼邮件(如图3),通过使用具有吸引力的“补贴”为主题,利用用户对金钱的重视,达到攻击目的。


4利用二维码掩饰钓鱼链接

    

    收件人扫码后,就会跳转到钓鱼页面,诱导用户填写银行卡号、身份证号、手机号等敏感信息,攻击者之后会利用这些信息发起转账请求,通过受害者输入银行发来的验证码,攻击者就可以完成相关的转账操作,成功实施诈骗。

5钓鱼页面收集受害人银行卡验证码



    钓鱼邮件主题和内容还会限定事件时间、数量,从而制造紧迫感,引导收件人回复或参与活动,如“紧急通知”、“前1003折先到先得”、“报名时间截止XX,过时不候”、“在X点前完成密码重置”等等。5钓鱼邮件以“紧急通知”为主题,并警告用户如果不按要求进行操作账号将不能使用,制造事件的紧迫感,压榨收件人谨慎思考的时间,促使收件人迅速采取行动。如果收件人点击钓鱼邮件正文中的“升级审核”,将会跳转至攻击者特制的钓鱼页面,从而收集用户的相关账号凭据,对用户造成损失。


6钓鱼邮件利用话术引导受害者点击


   (二)利用第三方信誉降低受害者戒心

    钓鱼邮件通常会伪装成具有公信力的第三方机构,以此降低用户戒心。例如冒充国家机构、公信机构(公安、公积金中心、社保中心、银行、购物网站等);冒充官方机构的机构(如大学生对考研、公务员培训、资格认证、简历求职等方向有需求);冒充管理方(如企业内邮箱管理员、邮箱服务商等)。钓鱼邮件还会通过伪装或爆破某个人邮箱给熟人发钓鱼邮件,例如伪装成目标用户的领导、朋友、亲人、客户等等。或者通过直接获取目标收件人有关联系人的邮箱账号,借此发钓鱼邮件,降低收件人的戒心,从而达到攻击目的。6的钓鱼邮件伪装为具有公信力的机构,并在正文内容使用“最后”、“终止”等字眼,试图通过制造紧迫感来促使收件人采取行动,如果点击钓鱼邮件正文内容中的选项,将跳转至恶意网页,攻击者将对用户信息进行收集。


7钓鱼链接利用话术引导受害者点击


    图7钓鱼邮件首先使用“电邮安全警报”标题,提高收件人阅读的紧迫感,其次冒充电子邮件服务商,降低用户防备心。在邮件中要求用户在24小时内回复,如果未经验证,将关闭收件人电子邮件账户,制造事件紧迫感,促使收件人迅速对邮件做出回应。如果点击钓鱼邮件正文链接,则会跳转至钓鱼网页,并被要求输入账号密码,从而达到窃取目标用户账号目的。


8钓鱼邮件冒充电邮提供商


(三)攻击者攻陷上游管理方

    上游管理机构一般都有安全方案和安全措施,但由于其特殊性,也有成为攻击者目标的可能性,虽然目前这种案例数量并不多,但造成的危害更大。如果目标账户上游管理方被攻击沦陷,也可能被利用来发送钓鱼邮件,例如:公司邮件服务器沦陷,邮箱服务商沦陷,DNS解析服务器沦陷等,攻击者直接利用沦陷账号发送钓鱼邮件,就能更加容易达到其攻击目的。


返回顶部

COPYRIGHT © 2016- 天津医科大学 版权所有 天津医科大学网络安全和信息化办公室 电话:022-83336577