某用戶，收到一封自己發(fā)給自己的郵件，郵件內(nèi)容為恐嚇性信息，“我有壞消息要告訴您。大約在幾個月之前，我獲得了您用來上網(wǎng)的電子設(shè)備的訪問權(quán)限。從那以后，我就開始監(jiān)視您在互聯(lián)網(wǎng)上的一舉一動……我的建議是頻繁地更新您所有的密碼！”。

　　反釣魚郵件演練的必要性

　　釣魚郵件是指利用偽裝的電子郵件，欺騙收件人將賬號、口令等信息回復(fù)給指定的接收者，或引導(dǎo)收件人連接到特制的網(wǎng)頁。這些網(wǎng)頁通常會偽裝模仿真實(shí)網(wǎng)站，如銀行或理財(cái)?shù)木W(wǎng)頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等，進(jìn)而盜取用戶財(cái)產(chǎn)或數(shù)據(jù)信息。同時，釣魚郵件也會對內(nèi)部信息網(wǎng)絡(luò)安全造成隱患。

　　釣魚郵件攻擊實(shí)際上是社會工程學(xué)攻擊的一部分，“社工”指的是通過與他人的合法交流，來使其心理受到影響，做出某些動作或者是透露一些機(jī)密信息的方式，通常被認(rèn)為是欺詐他人以收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)的行為。

　　釣魚郵件出現(xiàn)的根源在于發(fā)送者來源的不可信，例如日常生活中收到一封平郵，實(shí)際上很難了解該郵件是否一定由其所宣稱的人發(fā)出。互聯(lián)網(wǎng)充斥著大量虛假的信息，擁有辨別的能力和水平成為互聯(lián)網(wǎng)時代必備的基本素質(zhì)。除了郵件外，攻擊者也會利用包括電話、短信、IM、社交平臺、游戲平臺大廳等各種渠道進(jìn)行詐騙。由于電子郵件收發(fā)便捷，成本低廉，導(dǎo)致其更為大眾所熟知。

　　在攻防場景中，如果正面無法突破，攻擊者也會嘗試社工的方法進(jìn)行內(nèi)網(wǎng)滲透，釣魚郵件往往是攻擊者最先嘗試的方法。一旦一個用戶被成功釣魚，往往會導(dǎo)致其負(fù)責(zé)的所有信息泄露或周邊同事繼續(xù)被釣魚。所以釣魚郵件危害巨大，輕則只對單個用戶產(chǎn)生影響，重則造成組織敏感信息泄露，網(wǎng)絡(luò)防護(hù)體系整體崩潰。

　　在高校內(nèi)，近年來的釣魚郵件攻擊目標(biāo)選擇和郵件內(nèi)容上變得更有針對性[1]。攻擊者會根據(jù)各單位的官方組織架構(gòu)網(wǎng)站獲取人員信息，并根據(jù)通知公告熱點(diǎn)編制諸如新冠肺炎、科研申報、論文發(fā)表、年度考核、系統(tǒng)升級、健康打卡等內(nèi)容的釣魚郵件。高校郵件系統(tǒng)一般也會部署安全網(wǎng)關(guān)，但是安全網(wǎng)關(guān)針對垃圾郵件或者特征明顯的釣魚郵件效果尚可，而面對精準(zhǔn)的釣魚攻擊顯得有些無能為力。

　　《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)制度均明確要求，應(yīng)當(dāng)定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，告知相關(guān)的安全責(zé)任和懲戒措施。《2020郵件釣魚演練分析報告》[2]對除教育行業(yè)外的其他多個行業(yè)釣魚中招率等做了對比。

　　2021年5月18日，北京大學(xué)開展“釣魚郵件”攻防演練，演練取得了良好的警示效果。由此可見，為預(yù)防釣魚郵件攻擊，除了郵件服務(wù)器進(jìn)行加固外，經(jīng)常性培訓(xùn)和演練是一種提高組織內(nèi)全體人員的網(wǎng)絡(luò)安全意識的有效方法。利用電子郵件成本低廉的特性，宣傳反垃圾郵件和反詐騙相關(guān)信息，切實(shí)提高使用者的網(wǎng)絡(luò)安全素養(yǎng)，減低網(wǎng)絡(luò)安全風(fēng)險。

　　普通用戶應(yīng)當(dāng)知道的釣魚郵件常識

　　01.一些釣魚郵件的案例

　　1.某用戶，收到郵件通知某信息系統(tǒng)升級，需要立刻修改密碼。該用戶通過查看學(xué)校信息部門網(wǎng)站，確認(rèn)有升級動作，于是點(diǎn)擊郵件內(nèi)鏈接，未確認(rèn)URL地址是否為官方地址，提交了舊密碼和新密碼，導(dǎo)致系統(tǒng)密碼泄露。

　　2.某用戶，收到偽造的自稱市內(nèi)知名企業(yè)的項(xiàng)目合作申報，未經(jīng)核實(shí)，根據(jù)附件申報信息將個人信息和同事個人信息和項(xiàng)目信息發(fā)送到附件內(nèi)被偽造的電子郵件。

　　3.某教師，收到某自稱其他高校本科生郵件，郵件內(nèi)容為希望考取研究生。于是加了微信聯(lián)系，后被騙取少量財(cái)物。

　　4.某用戶，收到同單位同事的郵件，郵件附件存在病毒未發(fā)現(xiàn)，打開后導(dǎo)致電腦被加密勒索。后查發(fā)現(xiàn)該同事郵件密碼已經(jīng)泄露，被惡意用戶利用向郵件列表內(nèi)所有同事發(fā)送勒索軟件。

　　5.某用戶，收到前幾天收到的一封同樣內(nèi)容的郵件，郵件收件人包括多個安全意識較強(qiáng)的同事，由于事項(xiàng)確實(shí)未完成，在未確認(rèn)郵件內(nèi)鏈接URL的情況下點(diǎn)擊了鏈接。后查得知該郵件顯示發(fā)給其他多個同事，但是實(shí)際上其他同事沒有收到。

　　6.某部門某信息系統(tǒng)，開設(shè)了公開未實(shí)名的技術(shù)支持QQ群，在群內(nèi)解答用戶使用過程中遇到的問題。遭到惡意用戶加群后設(shè)置為其他部門管理員姓名發(fā)起臨時聊天會話并添加服務(wù)人員QQ，偽造系統(tǒng)故障，發(fā)送病毒文件給服務(wù)人員，由于服務(wù)人員安全意識不強(qiáng)，導(dǎo)致服務(wù)人員電腦被控制，泄露大量系統(tǒng)信息。

　　7.某用戶，每日在健康打卡系統(tǒng)打卡，某日下午忘記打卡，正好收到一封郵件提醒打卡，在著急下未確認(rèn)URL地址，提交了賬戶名和密碼，導(dǎo)致密碼泄露。

　　8.某用戶，收到一封自己發(fā)給自己的郵件，郵件內(nèi)容為恐嚇性信息，“我有壞消息要告訴您。大約在幾個月之前，我獲得了您用來上網(wǎng)的電子設(shè)備的訪問權(quán)限。從那以后，我就開始監(jiān)視您在互聯(lián)網(wǎng)上的一舉一動……我的建議是頻繁地更新您所有的密碼！”。

　　02.釣魚郵件的分類

　　根據(jù)釣魚郵件的內(nèi)容，大致可以分為以下幾類：

　　1.附件釣魚：這類郵件的風(fēng)險在于郵件中含有附件，附件的類型為可執(zhí)行文件，一般是病毒執(zhí)行程序。其他常見的還有Office文件、PDF等，主要是利用宏或者客戶端軟件CVE漏洞。也有利用加密的壓縮文件繞過反病毒監(jiān)測的。

　　2.鏈接釣魚：這類郵件風(fēng)險在于郵件中有網(wǎng)頁鏈接，點(diǎn)開鏈接是騙子做的以假亂真的釣魚網(wǎng)站，網(wǎng)站通常會要求用戶輸入賬戶信息之類以獲取用戶敏感信息；另一種鏈接指向的網(wǎng)頁暗藏木馬程序，用戶如果瀏覽器存在未修復(fù)的漏洞則點(diǎn)開的同時就中招了。

　　3.二維碼釣魚：郵件中不直接放過于明顯容易識別的單位網(wǎng)站，而是包含有二維碼，引導(dǎo)用戶掃描二維碼進(jìn)入釣魚網(wǎng)站。網(wǎng)站會要求用戶輸入賬戶信息用于獲取用戶敏感信息。二維碼也會指向附件或者App，要求用戶下載App或者相關(guān)附件，在App或者附件中植入病毒。

　　4.內(nèi)容釣魚：這類郵件通常附件不存在病毒，或者無任何外鏈或者二維碼，通過多次郵件來往獲取信任后實(shí)施進(jìn)一步欺騙。

　　03.如何識別釣魚郵件

　　識別是否為釣魚郵件要從郵件整體來看：

　　1.看發(fā)件人地址，是否為熟悉的人。如果看到發(fā)件地址內(nèi)有錯誤字符，或者發(fā)件地址較長，或者是代發(fā)的，應(yīng)引起警惕。即使是熟悉的朋友或同事，也要多一份警惕，因?yàn)閷Ψ娇赡苊艽a已經(jīng)泄露。

　　2.從發(fā)送時間看，是否有異常，比如凌晨等。

　　3.從內(nèi)容上看，使用領(lǐng)導(dǎo)或者官方機(jī)構(gòu)語氣，夸大事件影響范圍，使用通用問候語或者稱呼的，制造緊急氣氛的，吸引人的內(nèi)容的，應(yīng)引起警惕。

　　4.從內(nèi)容上看，如果郵件附帶鏈接或者二維碼，應(yīng)引起警惕。

　　5.從附件上看，如果帶可執(zhí)行文件，或者加密ZIP的，應(yīng)引起警惕。

　　6.不確認(rèn)是否合法郵件的，應(yīng)當(dāng)多向其他同事詢問。

　　7.如果確認(rèn)是釣魚郵件，應(yīng)當(dāng)向管理員報告，以免其他同事受害。

　　04.如何防范釣魚郵件

　　只要安全防護(hù)到位，即使遇到釣魚郵件也不用太擔(dān)心。如果打開的附件帶有病毒，只要系統(tǒng)安裝了防病毒工具，并且保持更新到最新，系統(tǒng)會自動隔離該附件避免遭到惡意用戶利用。

　　1.常規(guī)的安全防護(hù)措施要做，經(jīng)常接受一些網(wǎng)絡(luò)安全素養(yǎng)培訓(xùn)。

　　2.密碼使用強(qiáng)密碼。

　　3.應(yīng)定期更新操作系統(tǒng)、郵件客戶端、Office文檔查看器、PDF查看器、看圖工具等等軟件的安全補(bǔ)丁，保持最新。

　　4.應(yīng)安裝防病毒軟件并保持啟用和定期更新病毒庫。

　　5.郵件客戶端和Office等會對互聯(lián)網(wǎng)文件有防護(hù)配置，比如Outlook的“信任中心”，或者Word會在“受保護(hù)的視圖”打開來自互聯(lián)網(wǎng)的文件，不應(yīng)當(dāng)為了方便而關(guān)閉防護(hù)。

　　6.辨認(rèn)郵件內(nèi)鏈接是否可信。有些鏈接打開后實(shí)際上不是顯示的鏈接，或者多次重定向的短鏈接。所以網(wǎng)頁URL應(yīng)當(dāng)盡量從收藏夾打開或者手工輸入。

　　7.在任何網(wǎng)頁輸入密碼、驗(yàn)證碼、個人信息等，一定要確認(rèn)URL地址。如果在微信內(nèi)打開應(yīng)當(dāng)下拉網(wǎng)頁查看網(wǎng)頁源地址。應(yīng)盡量不使用無法顯示源地址或者顯示不全的部分手機(jī)瀏覽器。

　　8.下載后的壓縮文件要仔細(xì)辨認(rèn)文件后綴名，不應(yīng)當(dāng)隨意執(zhí)行任何可執(zhí)行文件。

　　05.我被釣魚了怎么辦

　　如果不小心被釣魚，應(yīng)立即斷掉網(wǎng)絡(luò)，更改誤提交的密碼，并尋求專業(yè)人士幫助。

　　反釣魚郵件演練開展步驟

　　進(jìn)行反釣魚演練之前，應(yīng)當(dāng)首先確認(rèn)郵件服務(wù)器自身的安全性。應(yīng)使用市面上占有率高的安全的郵件服務(wù)器軟件，郵件服務(wù)器軟件應(yīng)當(dāng)可以正常處理From字段畸形、代發(fā)顯示、方便地報告釣魚郵件等功能。郵件服務(wù)器應(yīng)當(dāng)做好DMARC、DKIM、SPF等加固，使用郵件安全網(wǎng)關(guān)對垃圾郵件和釣魚郵件進(jìn)行過濾，對用戶普及校內(nèi)郵件地址后綴，防止子域名沒有設(shè)置SPF被惡意利用。

　　開展反釣魚演練也需要考慮演練是否會造成草木皆兵，雖然養(yǎng)成提交敏感信息時再次確認(rèn)是一個基本的安全意識，但是由于用戶的網(wǎng)絡(luò)安全意識水平不一，如果不做好培訓(xùn)，貿(mào)然開展演練會影響正常工作發(fā)送通知郵件的便利性。反釣魚演練也要防止演練導(dǎo)致敏感信息被提交，所以在演練中對用戶提交的密碼不記錄，也不驗(yàn)證。

　　開展反釣魚演練需要選擇是自行開展或者采購?fù)獍?wù)。市面上有較多可實(shí)施反釣魚郵件演練的公司[3]。外包服務(wù)通常較為專業(yè)，釣魚模板全面，培訓(xùn)物料完善，擁有大量可以用來發(fā)送、接收和處理演練過程中的IP池和域名。但是也存在以下問題：

　　1.外包服務(wù)無法覆蓋全部工作量。反釣魚郵件培訓(xùn)網(wǎng)站需要跟校內(nèi)統(tǒng)一身份認(rèn)證對接，也需要提供校內(nèi)組織架構(gòu)，需要收集郵件地址，需要提供近期校內(nèi)熱點(diǎn)事件，需要提供部分業(yè)務(wù)系統(tǒng)敏感數(shù)據(jù)，需要在OA等群發(fā)培訓(xùn)通知，這些外包公司無法完成。

　　2.數(shù)據(jù)安全性問題，反釣魚演練的準(zhǔn)備、過程和結(jié)果數(shù)據(jù)應(yīng)當(dāng)保密，如果更換外包服務(wù)后，需要考慮如何整合歷史數(shù)據(jù)和新外包服務(wù)的系統(tǒng)，以便數(shù)據(jù)具有延續(xù)性。

　　3.外包服務(wù)通常以次數(shù)或發(fā)送郵件封數(shù)來計(jì)算成本。高校的特點(diǎn)是人員眾多，各個角色人數(shù)多且更替頻繁，每年均有新生和新進(jìn)教職員工，各個人員有工作郵箱和私人郵箱混用，多層次，常態(tài)化反釣魚演練成本較高。

　　如高校郵件管理部門有一定的技術(shù)能力，并且郵件系統(tǒng)可控，則可考慮自建反釣魚演練平臺和培訓(xùn)站點(diǎn)，達(dá)到數(shù)據(jù)完全掌握可控，釣魚模板緊跟校內(nèi)熱點(diǎn)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)。一旦選定了模式，就可以以下列步驟來開展反釣魚演練了。

　　01.報主管部門批準(zhǔn)

　　實(shí)施反釣魚郵件演練之前應(yīng)當(dāng)報告主管部門批準(zhǔn)。如果需要以某部門的名義發(fā)送，應(yīng)當(dāng)通知該部門，并協(xié)助該部門做好用戶電話咨詢等應(yīng)對措施，以免對該部門工作造成干擾。也應(yīng)當(dāng)告知相關(guān)的安全部門，否則會對一些安全設(shè)備的告警或者態(tài)勢感知設(shè)備的分析造成污染。

　　02.開展培訓(xùn)

　　反釣魚演練的目的不在于最終抓住普通用戶的網(wǎng)絡(luò)安全意識問題并進(jìn)行各種懲罰性措施，而是在于評估機(jī)構(gòu)內(nèi)所有用戶的安全素養(yǎng)水平和提高用戶的網(wǎng)絡(luò)安全意識，所以在釣魚之前一定要做好培訓(xùn)。

　　在校內(nèi)在線學(xué)習(xí)平臺開設(shè)防釣魚郵件課程，課程內(nèi)容包括“什么是釣魚郵件”、“身邊的案例”、“如何識別釣魚郵件”、“如何防范釣魚郵件”、“我被釣魚了怎么辦”、“反釣魚郵件小測驗(yàn)”、“相關(guān)資源和鏈接”等，通過辦公自動化通知、群發(fā)郵件、群組通知等廣泛多次通知用戶閱讀培訓(xùn)。

　　建立釣魚郵件報告機(jī)制。在培訓(xùn)時告知用戶可通過將釣魚郵件發(fā)送到特定郵箱、在Web標(biāo)記釣魚郵件、打電話咨詢等方式完成報告。

　　03.開展自測

　　為了檢驗(yàn)培訓(xùn)的成果，也為了在用戶被釣魚后可以自學(xué)，需要在在線平臺開設(shè)測試。使用題庫，鼓勵用戶多次答題。并根據(jù)反饋和案例充實(shí)題目。

　　04.演練

　　演練可以分批多層次舉行。初期在小單位內(nèi)部測試，測試沒有問題后再拓展到高價值用戶，比如校內(nèi)所有網(wǎng)站管理員，再拓展到全校師生。在演練發(fā)出后，應(yīng)當(dāng)跟蹤演練平臺、發(fā)送郵件服務(wù)器、接收郵件服務(wù)器的日志，防止因?yàn)榕渲貌划?dāng)郵件被攔截。

　　演練的郵件模板可以根據(jù)發(fā)送者、發(fā)送內(nèi)容、接收者等多個形式組合。比如：

　　1.模擬常規(guī)釣魚郵件，發(fā)送者郵件為非校內(nèi)郵件的地址，郵件較長無規(guī)則，非常易于識別的釣魚郵件。

　　2.錯別字多，存在常識錯誤的釣魚郵件。

　　3.郵件內(nèi)外鏈域名為較長無規(guī)則。

　　4.發(fā)送者郵件跟校內(nèi)郵件非常接近，只差一個字母等等近似或者不可見字符、全角@、肉眼容易混淆的Unicode字符。比如cqjzc.edu.cn類似域名。

　　5.發(fā)送者郵件地址為校內(nèi)師生，模擬校內(nèi)師生郵箱被黑被惡意發(fā)送釣魚。

　　6.外鏈域名與校內(nèi)地址類似的，比如id.xmu.edu.cn.l.example.com等。

　　7.外鏈域名為校內(nèi)，模擬校內(nèi)網(wǎng)站被攻擊后作為釣魚。

　　8.帶上個性化信息，比如在科研信息系統(tǒng)內(nèi)未結(jié)題項(xiàng)目信息，加大迷惑性。

　　9.發(fā)送多語言的郵件內(nèi)容，比如英文論文錄用通知。

　　10.針對特定角色用戶。

　　11.針對多次被釣魚用戶。

　　如果用戶誤點(diǎn)擊鏈接并提交用戶名信息后，應(yīng)引導(dǎo)到一個特定頁面，在這個頁面告知用戶只是個演練，以及如何識別這封釣魚郵件的特征，并繼續(xù)引導(dǎo)用戶到培訓(xùn)網(wǎng)站。

　　05.總結(jié)和常態(tài)化執(zhí)行

　　在一次演練結(jié)束后，應(yīng)當(dāng)分析數(shù)據(jù)，形成總結(jié)報告，積累經(jīng)驗(yàn)，并將演練結(jié)果脫敏后群發(fā)給用戶告知，加強(qiáng)培訓(xùn)效果。

　　多次發(fā)送釣魚郵件后，根據(jù)數(shù)據(jù)跟蹤分析得到易中招人員名單，分析共性，針對易中招人員再進(jìn)行特定培訓(xùn)。

　　自建反釣魚演練平臺實(shí)施方法

　　反釣魚演練平臺的搭建可以選擇免費(fèi)的Gophish或者SniperPhish等開源軟件。應(yīng)使用自動化部署，部署后，應(yīng)當(dāng)對系統(tǒng)做好安全加固，提高平臺的穩(wěn)定性。

　　以Gophish為例，應(yīng)定期更新安全補(bǔ)丁，使用MySQL數(shù)據(jù)庫，方便后期做數(shù)據(jù)分析統(tǒng)計(jì)。可通過supervisor或放入systemd維持Gophish進(jìn)程。不建議直接暴露Gophish的80/443端口，可使用Nginx代理對外提供HTTP/HTTPS服務(wù)。

　　Gophish支持靈活配置不同的釣魚策略，需搭配郵箱服務(wù)器實(shí)現(xiàn)發(fā)送釣魚郵件，可使用開源的Postfix作為發(fā)件服務(wù)器。在目標(biāo)郵件服務(wù)器上對發(fā)件服務(wù)器關(guān)閉部分規(guī)則校驗(yàn)或者設(shè)置白名單，繞過垃圾郵件過濾和發(fā)送頻率、來源驗(yàn)證等限制。

　　釣魚頁面可通過Gophish 的LadingPage導(dǎo)入，目前只支持一個頁面。如果需要在多個頁面之間實(shí)現(xiàn)跳轉(zhuǎn)和抓取數(shù)據(jù)，可以在一個頁面內(nèi)嵌入兩個步驟的頁面，或者獨(dú)立搭建一臺服務(wù)器，在站點(diǎn)內(nèi)嵌入多個{{.RId}}來實(shí)現(xiàn)跟蹤頁面打開和數(shù)據(jù)提交。如果要將釣魚頁面實(shí)現(xiàn)得更為逼真，可以搭建Nginx反向代理服務(wù)器，將站點(diǎn)反向代理到真實(shí)服務(wù)器，替換跳轉(zhuǎn)頁面登陸地址，可以達(dá)到更好的隱蔽性。

　　Gophish還在持續(xù)開發(fā)演進(jìn)中，功能上存在以下不足：

　　1.Gophish釣魚活動看板可以看到一次釣魚啟動后所有的時間點(diǎn)，包括某個用戶何時發(fā)送，何時打開，何時點(diǎn)擊外鏈，何時提交和報告。但是無法將多次釣魚演練的數(shù)據(jù)進(jìn)行合并顯示，比如顯示Top中招的用戶，為了更好地進(jìn)行數(shù)據(jù)分析，可以通過直連數(shù)據(jù)庫，進(jìn)一步進(jìn)行數(shù)據(jù)分析。

　　2.Gophish暫無法發(fā)送更高級的釣魚郵件，比如帶個性化信息的釣魚郵件，郵件模板可替換變量較少，無法發(fā)送帶跟蹤鏈接的Word附件，無法對發(fā)送的二維碼進(jìn)行自定義等等。

　　參考文獻(xiàn)

　　[1]鄭先偉.釣魚郵件攻擊更具針對性！高校需防范[J].中國教育網(wǎng)絡(luò),2020(12):25.

　　[2] 易念科技,FreeBuf. 易念科技聯(lián)合FreeBuf發(fā)布了《2020郵件釣魚演練分析報告》 [EB/OL]. [2020-12-30].https://www.freebuf.com/articles/paper/259376.html.

　　[3] Mr.Lee. 如何規(guī)劃企業(yè)釣魚郵件演練？[EB/OL].[2020-07-25]. https://mp.weixin.qq.com/s/h_yb5_AMSVYjN23rZPYtPg.

　　作者：鄭海山、陳燦彬（廈門大學(xué)信息與網(wǎng)絡(luò)中心）