釣魚郵件指利用偽裝的電子郵件，欺騙收件人將賬號(hào)、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人訪問(wèn)特制的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)通常會(huì)偽裝成和真實(shí)網(wǎng)站一樣，輸入信用卡或銀行卡號(hào)碼、賬戶名稱及密碼等而被盜取。
近日，安全公司Keepnet Labs對(duì)過(guò)去一年間41萬(wàn)份網(wǎng)絡(luò)釣魚電子郵件的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)電子郵件釣魚攻擊的“打開率”、“點(diǎn)擊率”（點(diǎn)擊惡意鏈接或者附件）和“轉(zhuǎn)化率”（泄露信息）都高得驚人：每2名員工中就有1名打開并閱讀網(wǎng)絡(luò)釣魚電子郵件；每3名員工中就有1個(gè)點(diǎn)擊釣魚電子郵件中的鏈接或打開文件附件；每8名員工中就有1名向攻擊者泄露網(wǎng)絡(luò)釣魚電子郵件中要求的信息。
此外，觀察近年來(lái)各大APT組織的攻擊過(guò)程，釣魚郵件成了一種常用的手法。它是一個(gè)絕佳的打開內(nèi)網(wǎng)通道的入口點(diǎn)，郵件可以攜帶文字、圖片、網(wǎng)址、附件等多種信息媒介，結(jié)合社工手段可以對(duì)未經(jīng)訓(xùn)練的人群進(jìn)行“降維打擊”，而且釣魚郵件還可以做到很強(qiáng)的針對(duì)性，對(duì)于運(yùn)維部門、企業(yè)高管等較高價(jià)值目標(biāo)還可以做到精準(zhǔn)打擊。
釣魚郵件豐富多彩多種多樣，但是主流的攻擊方式大概可以分為以下幾種：
(一)  郵件正文插入惡意鏈接
這是一種最基礎(chǔ)的攻擊方式，就是在郵件正文中放入一個(gè)惡意誘導(dǎo)鏈接，等待用戶進(jìn)行點(diǎn)擊，鏈接后面是一個(gè)偽造的網(wǎng)站，可能是一個(gè)惡意程序下載鏈接或者一個(gè)用于偽造的登錄入口等。
誠(chéng)然這種攻擊方式比較老套了，時(shí)至今日大家基本的辦公安全意識(shí)也都提高了，郵箱里面直接插入鏈接都不會(huì)輕易點(diǎn)擊。
但是道高一尺魔高一丈，攻擊者會(huì)利用一些近期一些熱點(diǎn)事件或者公司內(nèi)部信息如疫情、產(chǎn)品介紹、系統(tǒng)賬號(hào)升級(jí)等，以提高內(nèi)容可信度，誘導(dǎo)用戶點(diǎn)擊鏈接。
(二)  郵件附件藏毒
此類也是常見的一種，攻擊者的payload含在郵件附件里，載體有直接的文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等。
直接發(fā)送腳本程序誠(chéng)然是最直接的，但是容易被郵箱安全機(jī)制攔截或者人員識(shí)破，但攻擊者會(huì)使用一些偽裝手段，如使用超長(zhǎng)文件名隱藏后綴等。
根據(jù)ASRC 2019 年郵件安全趨勢(shì)回顧中提到的，最常用來(lái)攻擊的辦公文件為Word文件，其次為Excel文件。此類惡意文檔簡(jiǎn)單的是利用宏代碼調(diào)用powershell進(jìn)行命令執(zhí)行，高級(jí)的直接利用office等客戶端軟件漏洞。而ZIP壓縮格式較常被用來(lái)夾帶惡意文件，用于躲避郵件沙箱或者安全殺軟的直接查殺。
(三)  利用軟件漏洞攻擊
此類做法主要是使用郵件進(jìn)行投遞攻擊武器，武器本身利用了郵箱、客戶端軟件如瀏覽器、office、系統(tǒng)等本身的漏洞，此類攻擊需要配合操作系統(tǒng)/瀏覽器的 0day 或者 Nday，而且需要對(duì)攻擊者使用的終端應(yīng)用軟件進(jìn)行比較精準(zhǔn)的識(shí)別，因此攻擊成本較高，但是最終的效果還是很不錯(cuò)的，如利用郵箱的xss漏洞獲取了大量員工郵箱賬戶cookie信息。
其他常見利用的漏洞有windows系統(tǒng)漏洞、office漏洞、Winrar目錄穿越等。
(四)  利用郵件協(xié)議漏洞攻擊
主要利用了郵箱本身安全設(shè)置問(wèn)題，若郵箱地址沒(méi)有設(shè)置spf，那么就會(huì)有人假冒真實(shí)域名發(fā)送郵件。
(五)  郵件發(fā)件人身份“偽造”
這里面?zhèn)卧旃P者使用了引號(hào)，為什么呢？這個(gè)偽造可能是使用真實(shí)的發(fā)件人郵箱身份，如攻擊者通過(guò)一些方式竊取了一些真實(shí)可信的郵箱身份。
當(dāng)然還有一些曲線救國(guó)的方式，如果通過(guò)郵箱直接攻擊B單位人員無(wú)法成功，那么攻擊B單位的上級(jí)單位或者有較強(qiáng)業(yè)務(wù)往來(lái)的A單位人員郵箱，然后利用B對(duì)A的可信度，偽造郵件向其索要一些敏感信息或者要求安裝一些異常軟件等。實(shí)際的對(duì)抗中聽過(guò)某攻擊隊(duì)通過(guò)此方式直接獲得了目標(biāo)單位全員信息（姓名、電話、郵箱、住址）。