在一個(gè)風(fēng)和日麗的工作日下午，你收到了一封由公司人力資源部門(mén)發(fā)來(lái)的工資單郵件，正疑惑今天并不是發(fā)薪日，但激動(dòng)的小手已經(jīng)在不經(jīng)意間按下了鼠標(biāo)，發(fā)現(xiàn)上面所寫(xiě)的工資跟預(yù)期少了許多，一封附件表格提醒你查看本月需要扣除的額外款項(xiàng)，你滿(mǎn)懷疑惑，迫不及待地下載打開(kāi)，殊不知，這個(gè)暗含惡意代碼的附件已經(jīng)悄悄植入到你的電腦中。

像這樣的釣魚(yú)郵件場(chǎng)景在近來(lái)已經(jīng)屢次出現(xiàn)，根據(jù)CAC郵件安全大數(shù)據(jù)中心所做的一項(xiàng)調(diào)查，2021年第4季度，釣魚(yú)郵件總量同比去年同期增長(zhǎng)95.43%，郵件安全威脅的形勢(shì)不容樂(lè)觀。隨著新冠疫情的持續(xù)，無(wú)論是個(gè)人網(wǎng)絡(luò)行為還是企業(yè)辦公，都越發(fā)依賴(lài)于網(wǎng)絡(luò)，大量的網(wǎng)絡(luò)數(shù)據(jù)流量對(duì)于一些網(wǎng)絡(luò)犯罪分子而言無(wú)疑是隱形的提款機(jī)，無(wú)論是一目了然，還是真假難辨的釣魚(yú)郵件紛至沓來(lái)。由于它們自身段位不同，有的是廣撒網(wǎng)碰運(yùn)氣，有的則是精心炮制，定向攻破，無(wú)論哪種，都讓我們深感危機(jī)四伏，稍有不慎便會(huì)落入圈套之中。

本文根據(jù)釣魚(yú)郵件的偽裝程度，分了三個(gè)“段位”。

段位一：就這你還想騙我?

這類(lèi)釣魚(yú)郵件，往往一看就很假，常見(jiàn)于：

恭喜，你的QQ號(hào)在XXX活動(dòng)中喜獲一等獎(jiǎng)，請(qǐng)點(diǎn)擊下方鏈接領(lǐng)取

或者：你的XXX賬戶(hù)存在安全風(fēng)險(xiǎn)，請(qǐng)點(diǎn)擊XXX完善相關(guān)信息

這些廣撒網(wǎng)的釣魚(yú)郵件在前些年曾大量出現(xiàn)，由于沒(méi)有特定的目標(biāo)群體，內(nèi)容空洞夸張，加之近來(lái)網(wǎng)絡(luò)安全的逐漸普及，中招率極低，大多數(shù)人看到這樣的郵件，心中都會(huì)冒出三個(gè)問(wèn)號(hào)：這是啥?我有嗎?就這還想騙我?

段位二：還好我多看了一眼，不然就中招了

清華大學(xué)曾做過(guò)一次釣魚(yú)測(cè)驗(yàn)，向不少師生發(fā)送了一封《異常行為登錄警告》的郵件，提醒收件人賬號(hào)存在異常，個(gè)人信息可能被泄露，并在其中附了一個(gè)鏈接。

這封郵件乍一看有模有樣，落款還是IT技術(shù)部門(mén)，但稍微多留意一下發(fā)件人地址，就會(huì)看到其中的端倪：“清華“的正確英文名為tsinghua，而該郵件為了逼真，對(duì)其進(jìn)行了模仿，將i和n調(diào)換順序，變成tsnighua。不少清華學(xué)子表示，自己差點(diǎn)就信了。

如果不幸點(diǎn)開(kāi)其中的釣魚(yú)鏈接，則會(huì)跳轉(zhuǎn)到學(xué)校用戶(hù)身份系統(tǒng)登錄界面，在輸入賬號(hào)密碼后會(huì)來(lái)到一個(gè)《開(kāi)“獎(jiǎng)”說(shuō)明》頁(yè)面，提醒這位受騙上當(dāng)?shù)耐瑢W(xué)未能識(shí)別出釣魚(yú)郵件。

如果發(fā)生在現(xiàn)實(shí)釣魚(yú)場(chǎng)景中，當(dāng)受害者點(diǎn)擊鏈接時(shí)，往往會(huì)被帶往一個(gè)仿冒的相關(guān)賬號(hào)登陸頁(yè)面，用戶(hù)一旦提交賬號(hào)密碼，便會(huì)將這些信息自動(dòng)發(fā)送到攻擊者服務(wù)器。這時(shí)，偽裝的頁(yè)面往往還會(huì)跳轉(zhuǎn)至真實(shí)的登錄頁(yè)面，用戶(hù)以為是自己剛剛輸錯(cuò)了賬號(hào)密碼，其實(shí)這些信息已被攻擊者成功盜走。

讓我們?cè)倏匆粋€(gè)案例。近期，國(guó)內(nèi)某公司內(nèi)部曾曝出如圖所示的釣魚(yú)郵件，該郵件以財(cái)務(wù)部發(fā)放年終工資補(bǔ)貼的名義，誘導(dǎo)員工掃描二維碼，騙取起銀行賬戶(hù)信息。

如果有人不慎上當(dāng)，掃碼后就會(huì)跳轉(zhuǎn)到攻擊者設(shè)計(jì)的釣魚(yú)頁(yè)面中，誘導(dǎo)填寫(xiě)銀行卡號(hào)、身份證號(hào)、手機(jī)號(hào)等敏感信息，攻擊者在收到這些信息后便會(huì)發(fā)起轉(zhuǎn)賬請(qǐng)求，受害則也會(huì)收到銀行發(fā)來(lái)的驗(yàn)證碼，輸入后，攻擊者就可以完成相關(guān)的轉(zhuǎn)賬操作，成功實(shí)施詐騙。

由于當(dāng)時(shí)正值春節(jié)前夕，再加上看似官方的措辭，一些員工信以為真，結(jié)果造成了數(shù)額不菲的財(cái)產(chǎn)損失。

要識(shí)別這封釣魚(yú)郵件，方法也很多，首先，簡(jiǎn)體、繁體中文混用的行文格式本身就很可疑，其次，國(guó)家單位也不會(huì)以任何二維碼或鏈接的形式，要求登記個(gè)人信息發(fā)放補(bǔ)貼。此外，如果此類(lèi)釣魚(yú)郵件出現(xiàn)在公司內(nèi)部郵箱中，很可能是由于已有公司員工中招，攻擊者利用該員工賬號(hào)在公司內(nèi)部發(fā)送釣魚(yú)郵件，如果發(fā)件人不屬于公司人力資源或財(cái)務(wù)部門(mén)，也基本可以判斷為釣魚(yú)郵件。

段位三：我什么時(shí)候中的招?

正如本文開(kāi)頭所設(shè)想的場(chǎng)景，這一類(lèi)釣魚(yú)郵件由于偽裝度較高，一般人在第一時(shí)間往往難以辨別。攻擊者可竊取合法或者有較高權(quán)限的電子郵件賬戶(hù)，向目標(biāo)發(fā)送釣魚(yú)郵件，比如竊取公司內(nèi)部人力資源管理者郵箱，向員工發(fā)送虛假工資單郵件，以騙取員工銀行賬戶(hù)。

為了增加中招率，攻擊者可謂是精通社會(huì)工程學(xué)的各種套路，除了以和個(gè)人息息相關(guān)的財(cái)產(chǎn)等為誘餌，隨著新冠疫情的持續(xù)，利用人們對(duì)病毒的擔(dān)憂(yōu)所炮制的釣魚(yú)郵件在近兩年時(shí)有發(fā)生。

在如圖所示的釣魚(yú)郵件中，攻擊者冒充當(dāng)?shù)蒯t(yī)院，告知收件人的一位家人、朋友或同事病毒檢測(cè)呈陽(yáng)性，并敦促他們打印附件中的“緊急聯(lián)系人”文件前往就近的檢測(cè)中心。當(dāng)用戶(hù)下載并查看附件，惡意程序就會(huì)悄然下載并在計(jì)算機(jī)中自動(dòng)運(yùn)行。

此外攻擊者還往往會(huì)對(duì)有價(jià)值的目標(biāo)下手，比如希拉里的競(jìng)選團(tuán)隊(duì)曾收到過(guò)偽裝成谷歌官方的釣魚(yú)郵件，提醒密碼可能已被盜用，建議按照內(nèi)容提示修改密碼，結(jié)果競(jìng)選團(tuán)隊(duì)主席約翰·波德斯塔輕信了郵件內(nèi)容，點(diǎn)擊了其中的惡意鏈接，其郵箱密碼就成了攻擊者的囊中之物。

如何識(shí)別釣魚(yú)郵件?可從“5看”做起

我們以一封釣魚(yú)郵件樣本看起，從5個(gè)部分解構(gòu)它的釣魚(yú)把戲。

1.看發(fā)件人地址。如果是公司內(nèi)的通知或工作郵件，發(fā)件人大多會(huì)使用公司專(zhuān)門(mén)的工作郵箱，如果是個(gè)人郵箱賬號(hào)，或者是一些拼寫(xiě)很奇怪的郵箱地址，則需要提高警惕。此外，正如本文所列舉的清華大學(xué)釣魚(yú)郵件測(cè)試，要注意對(duì)正規(guī)郵箱賬號(hào)的仿冒，尤其是對(duì)個(gè)別字母的移花接木。

2.看發(fā)件日期。無(wú)論是公司郵件，或是其它重要的通知類(lèi)郵件，發(fā)件時(shí)間大多會(huì)在工作時(shí)間內(nèi)，如果是在非工作時(shí)間，比如凌晨一兩點(diǎn)，則需要提高警惕。

3.看正文措辭，對(duì)使用“親愛(ài)的用戶(hù)”、“親愛(ài)的同事”等一些過(guò)于泛化，無(wú)法點(diǎn)名道姓的郵件保持警惕，對(duì)于一些制造緊張氣氛、營(yíng)造緊張氣氛的措辭也要持懷疑態(tài)度，如要求“務(wù)必今日下班前完成”、“請(qǐng)立即單擊此處”等，企圖讓人在慌亂中麻痹大意。

4.看正文中是否附帶鏈接或二維碼，切忌直接打開(kāi)。釣魚(yú)郵件使用短鏈接(例如http://t.cn/zWU7f71)或帶鏈接的文字來(lái)迷惑用戶(hù)。如果接到的郵件是郵箱升級(jí)、郵箱停用等辦公信息通知類(lèi)郵件，在點(diǎn)開(kāi)鏈接時(shí)，還應(yīng)認(rèn)真比對(duì)鏈接中的網(wǎng)址是否為單位網(wǎng)址，如果不是，則可能為釣魚(yú)郵件。此外，對(duì)于同事或朋友郵箱發(fā)來(lái)的郵件，若對(duì)內(nèi)容有任何存疑，也盡量事先向?qū)Ψ胶藢?shí)，以防攻擊者通過(guò)利用“熟人”的郵箱傳播釣魚(yú)郵件。

5.看附件。不要隨意點(diǎn)擊下載郵件中的附件，word、pdf、excel、PPT、rar等文件都可能植入可自動(dòng)運(yùn)行的惡意代碼或程序，尤其是附件中直接帶有后綴為.exe、.bat的可執(zhí)行文件。

由于釣魚(yú)郵件是一種高度利用社會(huì)工程學(xué)的攻擊方式，讓它自20世紀(jì)90年代出現(xiàn)以來(lái)一直伴隨著時(shí)代的發(fā)展和互聯(lián)網(wǎng)技術(shù)的變革，而且愈演愈烈，成為當(dāng)下主要的攻擊方式之一。只要有網(wǎng)絡(luò)，釣魚(yú)郵件就會(huì)趁機(jī)而入，只要人們喜歡什么、在意什么、擔(dān)心什么，釣魚(yú)郵件總會(huì)以相應(yīng)的形式出現(xiàn)，只要有什么大事和我們息息相關(guān)，釣魚(yú)郵件也總能在第一時(shí)間捕風(fēng)捉影、如法炮制?？梢?jiàn)，最根本的防線(xiàn)還是在于人本身，如何根據(jù)實(shí)際情況和所處環(huán)境，加強(qiáng)分辨能力、提高自身抵御誘惑的能力，冷靜分析，才是真正避免被釣魚(yú)的關(guān)鍵。