摘　要：基于當(dāng)前電子郵件技術(shù)發(fā)展現(xiàn)狀，總結(jié)梳理我國(guó)郵件安全總體態(tài)勢(shì)及面臨的風(fēng)險(xiǎn)隱患。從社會(huì)工程學(xué)視角出發(fā)，研究近年來(lái)主流網(wǎng)絡(luò)釣魚郵件攻擊的方式、類型和使用技術(shù)，介紹郵件惡意附件常用的惡意木馬、自解壓文件、動(dòng)態(tài)鏈接庫(kù)側(cè)加載等攻擊技術(shù)的工作原理。分析生成式 AI 機(jī)器人、多片段程序編碼混淆等新型信息技術(shù)加劇釣魚郵件攻擊的風(fēng)險(xiǎn)隱患，并結(jié)合理論和現(xiàn)實(shí)情況，就如何防范應(yīng)對(duì)新型釣魚郵件攻擊提出對(duì)策建議。

內(nèi)容目錄：

1　釣魚郵件攻擊
1.1　基本概念
1.2　我國(guó)釣魚郵件攻擊態(tài)勢(shì)
1.3　常見(jiàn)釣魚郵件攻擊類型
2　釣魚郵件攻擊技術(shù)發(fā)展
2.1　常規(guī)釣魚郵件技術(shù)
2.2　新型釣魚郵件技術(shù)
3　防范對(duì)策建議
3.1　強(qiáng)化釣魚攻擊防范意識(shí)
3.2　加強(qiáng)釣魚郵件內(nèi)容甄別
3.3　安裝附件安全檢測(cè)工具
4　結(jié)　語(yǔ)

隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展，電子郵件功能越發(fā)完善并快速普及，成為人們線上工作交流、數(shù)據(jù)傳輸和信息共享的重要介質(zhì)。然而，自電子郵件問(wèn)世以來(lái)，釣魚郵件攻擊因其成本低、影響范圍廣、誘導(dǎo)性強(qiáng)、攻擊效果好等特點(diǎn)，迅速成為黑客組織和不法分子最為慣用的攻擊手段，黑客利用社會(huì)工程學(xué)手法，大肆制造發(fā)送虛假仿冒郵件，竊取用戶憑據(jù)、個(gè)人信息和商業(yè)機(jī)密等敏感數(shù)據(jù)，甚至直接實(shí)施攻擊破壞和滲透竊密活動(dòng)。據(jù)公開資料顯示，全球每天約發(fā)生 1.3 億次釣魚郵件攻擊，影響范圍波及約全球一半人口。

本文概述近年來(lái)我國(guó)境內(nèi)遭受釣魚郵件攻擊的態(tài)勢(shì)情況，梳理分析常見(jiàn)釣魚郵件攻擊方式和技術(shù)，研究 ChatGPT 人工智能機(jī)器人、多片段程序編碼混淆等新型技術(shù)對(duì)釣魚郵件攻擊的變革作用，并結(jié)合攻擊方式和手段，就如何防范應(yīng)對(duì)提出對(duì)策建議。文章第一部分介紹釣魚郵件攻擊基本概念和流行的主要原因，根據(jù)公開統(tǒng)計(jì)數(shù)據(jù)，分析當(dāng)前我國(guó)境內(nèi)遭受釣魚郵件攻擊的現(xiàn)狀、態(tài)勢(shì)和主要風(fēng)險(xiǎn)點(diǎn)，并闡述近年來(lái)釣魚郵件攻擊技術(shù)的發(fā)展和演變，同時(shí)針對(duì)釣魚郵件附件中使用的惡意載荷攻擊技術(shù)原理進(jìn)行分析，最后就如何應(yīng)對(duì)防范提出對(duì)策建議。

1 釣魚郵件攻擊

1.1　基本概念

所謂釣魚郵件攻擊，是指攻擊者使用社會(huì)工程學(xué)手法偽裝身份，向攻擊目標(biāo)發(fā)送具有誘騙性的電子郵件“誘餌”，利用人們的好奇、貪婪和獵奇等情緒和心理，通過(guò)誘導(dǎo)攻擊目標(biāo)降低戒備心、點(diǎn)擊惡意鏈接或下載含毒文件等方式，實(shí)施竊取用戶憑證信息、植入木馬病毒、入侵控制服務(wù)器等攻擊活動(dòng) 。釣魚郵件攻擊屬于極為常見(jiàn)的網(wǎng)絡(luò)攻擊方式。由于企業(yè)及其員工網(wǎng)絡(luò)安全防護(hù)意識(shí)不足、釣魚攻擊技術(shù)隱蔽性提高等原因，普通人群在接收到一封自己感興趣或關(guān)心話題的郵件時(shí)，難以第一時(shí)間發(fā)現(xiàn)和識(shí)別其是否具有風(fēng)險(xiǎn)和威脅。一般釣魚郵件攻擊流程如圖 1 所示。

圖 1　一般釣魚郵件攻擊流程

釣 魚 郵 件 攻 擊 之 所 以 持 續(xù) 流 行， 是 因 為其成本極低且難以防范，區(qū)別于拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）、木馬遠(yuǎn)控、僵尸蠕蟲等對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊，釣魚攻擊直接以人作為攻擊對(duì)象，利用“人性”的獵奇心理和防備松懈等實(shí)施欺詐、誘騙行為，無(wú)須大費(fèi)周章地突破系統(tǒng)防火墻、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、入侵檢測(cè)系統(tǒng)（Itrusion Detection System，IDS）等縱深防御措施，便可輕松獲取賬戶信息或植入惡意程序。

1.2　我國(guó)釣魚郵件攻擊態(tài)勢(shì)

1.2.1　釣魚郵件攻擊事件高發(fā)

近年來(lái)，我國(guó)遭遇境內(nèi)外黑客和不法分子實(shí)施釣魚郵件攻擊事件呈高發(fā)態(tài)勢(shì)。據(jù)奇安信披露，2022 年我國(guó)企業(yè)郵箱用戶共收發(fā)各類電子郵件約 7 660 億封。其中，釣魚郵件占比為5.6%，如圖 2 所示，數(shù)量相比 2021 年保持持續(xù)上升趨勢(shì)。除數(shù)量不斷增長(zhǎng)外，我國(guó)遭受釣魚郵件攻擊事件規(guī)模愈發(fā)龐大，僅 2022 年上半年就發(fā)生十余起大型單位及職工遭受釣魚郵件攻擊事件。隨著我國(guó)網(wǎng)絡(luò)和信息化技術(shù)的深度普及，未來(lái)釣魚郵件攻擊事件恐將保持高發(fā)態(tài)勢(shì)，企業(yè)和個(gè)人也將持續(xù)面臨釣魚攻擊風(fēng)險(xiǎn)和威脅。

圖 2　近年我國(guó)企業(yè)收到釣魚郵件數(shù)量趨勢(shì)

（資料來(lái)源：奇安信發(fā)布的《2022 年中國(guó)企業(yè)郵箱安全性研究報(bào)告》）

1.2.2　重點(diǎn)領(lǐng)域企業(yè)為主要攻擊對(duì)象

金融、教育、醫(yī)療、物流、能源等重點(diǎn)領(lǐng)域的大型企業(yè)在我國(guó)經(jīng)濟(jì)發(fā)展和社會(huì)運(yùn)行中承擔(dān)重要環(huán)節(jié)，其網(wǎng)絡(luò)系統(tǒng)存放大量我境內(nèi)用戶、商業(yè)甚至國(guó)家機(jī)密數(shù)據(jù)，已成為境內(nèi)外黑客組織和不法分子釣魚郵件攻擊的主要目標(biāo)。如圖 3所示，2022 年我國(guó)遭釣魚攻擊的企業(yè)中，工業(yè)制造企業(yè)占比約 24%，其次是交通運(yùn)輸業(yè)占比 12%和教育培訓(xùn)業(yè)占比約 10%。此外，互聯(lián)網(wǎng)、IT 信息、醫(yī)療衛(wèi)生、金融以及批發(fā)零售等行業(yè)也遭受一定數(shù)量的釣魚郵件攻擊。其中，位于北京、上海和廣東的企業(yè)遭攻擊數(shù)量排名前三，由此可見(jiàn)，一線城市的大型企業(yè)更易成為釣魚郵件攻擊目標(biāo)。

圖 3 2022 年我國(guó)遭釣魚郵件攻擊行業(yè)情況

（資料來(lái)源：奇安信發(fā)布的《2022 年中國(guó)企業(yè)郵箱安全性研究報(bào)告》）

1.2.3　關(guān)鍵基礎(chǔ)設(shè)施安全面臨嚴(yán)峻威脅

2021 年以來(lái)，“綠斑”“蔓靈花”等境外黑客組織長(zhǎng)期針對(duì)我國(guó)政府部門、軍事機(jī)構(gòu)以及醫(yī)療、金融、教育、能源、電力等重要領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施實(shí)施釣魚郵件攻擊，竊取我國(guó)國(guó)家安全關(guān)鍵部位網(wǎng)絡(luò)系統(tǒng)的賬戶和密碼，伺機(jī)入侵控制服務(wù)器，實(shí)施網(wǎng)絡(luò)攻擊和滲透竊密活動(dòng)。2022 年下半年，境外“綠斑”“蔓靈花”等黑客組織向我國(guó)境內(nèi)政府部門、軍事機(jī)構(gòu)發(fā)送釣魚郵件，誘騙相關(guān)目標(biāo)下載并運(yùn)行遠(yuǎn)控木馬程序，以竊取國(guó)家和政府機(jī)密，嚴(yán)重威脅我國(guó)網(wǎng)絡(luò)安全。

1.3　常見(jiàn)釣魚郵件攻擊類型

在所有釣魚郵件攻擊中，最為古老的是廣撒網(wǎng)式釣魚，通過(guò)發(fā)送大量編撰好的虛假郵件或垃圾郵件，不定向隨機(jī)攻擊個(gè)人郵箱。此類釣魚攻擊沒(méi)有具體目標(biāo)，往往容易被用戶識(shí)別和防范。近年來(lái)，廣撒網(wǎng)式釣魚逐步減少，針對(duì)特定目標(biāo)的釣魚郵件攻擊則更為常見(jiàn)，主要有以下幾種類型：

（1）魚叉式釣魚郵件攻擊。與廣撒網(wǎng)式釣魚攻擊不同，魚叉式釣魚攻擊以某特定企業(yè)、組織及其員工為目標(biāo)，通過(guò)發(fā)送定制化主題的郵件，誘騙其輸入賬戶密碼、點(diǎn)擊惡意鏈接、下載帶毒文件等，以獲取重要數(shù)據(jù)資料 。

（2）鯨釣。攻擊者鎖定政府高官、企業(yè)高管、社會(huì)名人等具有較大影響力的人物，冒充其身份向員工或周邊親朋發(fā)送仿冒郵件，內(nèi)容中通常還會(huì)催促收件人盡快提供重要文件或信息，此類釣魚方式“胃口”更大、目標(biāo)更廣、收效更快，因而被形象地稱為“鯨釣”。

（3）商業(yè)電子郵件欺詐。該類型與鯨釣性質(zhì)較為相似，但并非直接以政府高官、企業(yè)高管等為目標(biāo)，而是偽裝成公司領(lǐng)導(dǎo)、用戶同事、合作商等身份，吸引目標(biāo)用戶注意，利用其本能的職業(yè)順從心理實(shí)施誘導(dǎo)、欺騙行為，進(jìn)而竊取個(gè)人信息和資料文件等商業(yè)機(jī)密。

2 釣魚郵件攻擊技術(shù)發(fā)展

2.1　常規(guī)釣魚郵件技術(shù)

2.1.1　仿冒偽造郵件

實(shí)現(xiàn)郵件發(fā)送功能使用的 SMTP 協(xié)議存在安全漏洞，可隨意修改定制郵件頭參數(shù)，黑客利用該漏洞手動(dòng)構(gòu)造 body（郵件正文）、header（郵件頭）、from（發(fā)件人）、mail from（真實(shí)發(fā)件人）、to（收件人）等字段，利用 telnet 等命令直接構(gòu)造郵件發(fā)送指令，向中轉(zhuǎn)服務(wù)器發(fā)送虛假偽造郵件。此外，為提升偽造真實(shí)性，不少攻擊者通過(guò)搭建私人服務(wù)器或私有云等方式，遠(yuǎn)程部署電子郵件服務(wù)和相關(guān)協(xié)議，偽裝成管理員、領(lǐng)導(dǎo)的姓名、郵箱等，向目標(biāo)發(fā)送釣魚電子郵件，誘騙竊取憑據(jù)信息?；陔娮余]件傳輸協(xié)議（Simple Mail Transfer Protocol，SMTP） 制 造偽造虛假郵件如圖 4 所示。

圖 4　基于 SMTP 協(xié)議制造偽造虛假郵件

2.1.2　惡意鏈接郵件

攻擊者以目標(biāo)關(guān)心或感興趣的內(nèi)容為主題等構(gòu)造虛假郵件，如《某網(wǎng)絡(luò)系統(tǒng)重要升級(jí)通知》《某重要會(huì)議邀請(qǐng)函》《某考試要求通知》等，在正文中附帶一條指向惡意內(nèi)容的鏈接，用戶點(diǎn)擊后將跳轉(zhuǎn)至仿冒虛假網(wǎng)站、水坑攻擊頁(yè)面等有害網(wǎng)站。帶惡意鏈接的釣魚郵件如圖 5 所示，黑客偽裝成順豐快遞人員向目標(biāo)發(fā)送釣魚郵件，以“更新地址”為主題誘導(dǎo)收件人點(diǎn)擊鏈接，該鏈接指向另一個(gè)用于收集信息的仿冒網(wǎng)站。

圖 5　帶惡意鏈接的釣魚郵件

2.1.3　含毒附件郵件

通常來(lái)說(shuō)，用戶因好奇、獵奇等心理會(huì)習(xí)慣性下載郵件附件，攻擊者利用用戶此習(xí)慣在發(fā)送的仿冒郵件中攜帶包含惡意宏的 Office 文檔、可執(zhí)行程序（EXE、SCR、VBS）、快捷方式文件（LNK）和壓縮包（ZIP）等附件 。通常，Office 啟用宏快捷方式文件會(huì)調(diào)用 Powershell 腳本執(zhí)行惡意腳本命令，可執(zhí)行文件在執(zhí)行后將遠(yuǎn)程下載各種注入病毒、蠕蟲、木馬后門等，而壓縮包文件內(nèi)則直接攜帶某惡意木馬，上述病毒往往種類繁多、變體復(fù)雜，能夠?qū)δ繕?biāo)網(wǎng)絡(luò)系統(tǒng)實(shí)施破壞性攻擊。常見(jiàn)附件病毒類型如圖 6 所示。

圖 6　常見(jiàn)附件病毒類型

2.2　新型釣魚郵件技術(shù)

伴隨著信息技術(shù)和人工智能技術(shù)的發(fā)展，用于進(jìn)行釣魚郵件攻擊的輔助工具、附件惡意載荷以及防御逃避技術(shù)也持續(xù)革新。

2.2.1　生成式 AI 輔助魚叉釣魚攻擊技術(shù)

2022 年以來(lái)，以 ChatGPT 為代表的生成式人工智能（Artificial Intelligence，AI）技術(shù)掀起了全球人工智能熱潮，其高度智能化的特性在帶來(lái)便利的同時(shí)，也為黑客制作網(wǎng)絡(luò)武器化的釣魚郵件攻擊提供了“捷徑”。生成式 AI 機(jī)器人可根據(jù)用戶需求快速創(chuàng)建完整的釣魚郵件感染鏈，向特定目標(biāo)實(shí)施魚叉釣魚攻擊，相比于傳統(tǒng)釣魚郵件攻擊方式，具有以下特點(diǎn)：

（1）技術(shù)門檻更低。研究發(fā)現(xiàn)，使用生成式 AI 機(jī)器人輔助制作釣魚郵件幾乎不需要任何技術(shù)儲(chǔ)備，僅需簡(jiǎn)單文字描述便可生成武器化的釣魚郵件，極大降低了黑客實(shí)施攻擊的成本。使用生成式 AI 機(jī)制人輔助制作高仿真釣魚郵件的步驟如圖 7 所示。

圖 7　生成式 AI 制作釣魚郵件的步驟

一是用戶向 ChatGPT 程序提供一段描述具體郵件需求的文字，包括主題、收件人、內(nèi)容以及其他具體要求。二是 ChatGPT 將根據(jù)需求模擬各種社會(huì)環(huán)境，快速生成一封語(yǔ)法合理、邏輯通順、文字精練、格式規(guī)范的高仿真釣魚郵件。三是生成式 AI 技術(shù)還可根據(jù)用戶需求自動(dòng)生成具有惡意功能的代碼，黑客可利用“一站式”輕松實(shí)現(xiàn)“釣魚郵件 + 惡意附件”結(jié)合的攻擊方式。

如圖 8 所示，使用 ChatGPT 自動(dòng)創(chuàng)建的釣魚郵件內(nèi)容包括目標(biāo)姓名、郵件主題、主要訴求、第三方鏈接（惡意）、落款等高度仿真信息，極具欺騙性和迷惑性。

圖 8　使用 ChatGPT 自動(dòng)創(chuàng)建釣魚郵件

（2）欺騙性和迷惑性更強(qiáng)。攻擊者可以向生成式AI機(jī)器人描述更多有關(guān)攻擊目標(biāo)的社會(huì)身份、性格愛(ài)好、工作環(huán)境等詳細(xì)背景信息，通過(guò) AI 高度智能化的學(xué)習(xí)訓(xùn)練模型，可使用特定的寫作習(xí)慣，針對(duì)特定目標(biāo)，產(chǎn)出特定主題的魚叉式釣魚郵件，相比于傳統(tǒng)釣魚郵件更加難以分辨真?zhèn)巍?/span>

（3）回報(bào)比更高。根據(jù)相關(guān)研究發(fā)現(xiàn)，廣撒網(wǎng)、電子郵件欺詐以及魚叉式釣魚郵件攻擊等傳統(tǒng)攻擊方式往往會(huì)耗費(fèi)黑客大量精力去設(shè)計(jì)、制作、投遞釣魚郵件，采用此類通用欺騙手法仿制的郵件往往容易被識(shí)破，而針對(duì)特定目標(biāo)精心設(shè)計(jì)的釣魚郵件、定制化的惡意誘餌又耗費(fèi)較多時(shí)間和技術(shù)成本。生成式 AI 技術(shù)基于龐大的深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)，可模擬社會(huì)工程學(xué)手法，快速制作出高逼真度的釣魚郵件，相比傳統(tǒng)手段，回報(bào)比更高。

2.2.2　多種新型附件惡意載荷技術(shù)

釣魚郵件攻擊本質(zhì)上是利用社會(huì)工程學(xué)理論和方法，抓住“人性弱點(diǎn)”來(lái)繞過(guò)計(jì)算機(jī)主動(dòng)安全和防御機(jī)制，最初目標(biāo)僅是竊取登錄憑證或數(shù)據(jù)。隨著黑客技術(shù)演進(jìn)發(fā)展，攻擊者開始將釣魚郵件攻擊作為一種投遞惡意載荷的方式，利用附件夾帶勒索軟件、僵尸蠕蟲、木馬病毒等惡意程序，以實(shí)施滲透攻擊。此類新型攻擊思路迅速成為當(dāng)下最為流行的釣魚郵件攻擊方式，也催生出多種附件惡意載荷攻擊技術(shù)，極大程度提升了釣魚郵件攻擊的威脅性和破壞力。

（1）Office 文 件 啟 用 宏。攻 擊 者 利 用 熱點(diǎn) 新 聞、 輿 情 和 事 件 內(nèi) 容 為 標(biāo) 題 創(chuàng) 建 word、excel、ppt 以及 pdf 等 Office 文檔，在其中設(shè)置惡意宏代碼，將其設(shè)置為受保護(hù)文檔、模糊文檔或在其中插入模糊圖片，提示用戶需要啟用宏才可進(jìn)一步查看使用，以此誘導(dǎo)用戶開啟宏，進(jìn)而提取、釋放和自動(dòng)執(zhí)行惡意程序，整個(gè)過(guò)程用戶幾乎沒(méi)有任何感知。

（2）可執(zhí)行文件攻擊。黑客將 exe、scr 等可執(zhí)行文件作為郵件附件，用戶下載后文件自動(dòng)運(yùn)行，并與遠(yuǎn)控服務(wù)器建立連接，執(zhí)行進(jìn)程駐留、病毒下載、數(shù)據(jù)竊取等惡意行為。此外，為進(jìn)一步提升此類可執(zhí)行程序的執(zhí)行率，部分黑客將木馬病毒、可執(zhí)行程序等壓縮打包，利用WinRAR 功能將壓縮包設(shè)為自解壓文件，并預(yù)留一段自解壓后的默認(rèn)執(zhí)行命令。用戶下載該文件后，壓縮包將自動(dòng)解壓并執(zhí)行包內(nèi)的惡意程序和指令，此類指令一般是啟用 PowerShell，執(zhí)行權(quán)限提升、系統(tǒng)控制等非法入侵行為。

（3）幫助文件（Compiled HTML Help，CHM）捆綁木馬。CHM 格式文件是 Windows 幫助文件，此文件可以被植入惡意腳本，因其方便、快捷、成本低的特點(diǎn)成為黑客組織常用的釣魚郵件攻擊附件載荷，但其缺點(diǎn)是打開時(shí)會(huì)出現(xiàn)彈黑框、卡頓等現(xiàn)象，容易引起目標(biāo)警覺(jué)。

（4）快捷方式文件（Link File，LNK）欺騙。LNK快捷方式是指向其他文件的一種格式文件，其屬性中有 target 目標(biāo)路徑，用戶雙擊執(zhí)行該文件時(shí)會(huì)自動(dòng)執(zhí)行目標(biāo)路徑的程序。黑客利用此特性，在 target 中嵌入惡意腳本指令，并偽造 LNK文件圖標(biāo)，提高欺騙性以迷惑和引導(dǎo)用戶運(yùn)行。

（5）附件偽裝。一些黑客組織在郵件附件中利用附件偽裝技術(shù)，將容易引起用戶警惕和防范的非常規(guī)文件偽裝成不易被察覺(jué)的文件，以迷惑和欺騙用戶。例如，將惡意程序圖標(biāo)替換為常用軟件圖標(biāo)、偽裝成正常格式文檔、文件名添加長(zhǎng)空格以隱藏格式后綴、文件名反轉(zhuǎn)等。此外，在境外黑客組織“海蓮花”攻擊樣本中，還發(fā)現(xiàn)利用圖片隱寫技術(shù)隱藏后門程序的攻擊手法。

（6）動(dòng)態(tài)鏈接庫(kù)（Dynamic Link Library，DLL）劫持攻擊。DLL 劫持攻擊技術(shù)作為常用網(wǎng)絡(luò)攻擊手段也被用于釣魚郵件攻擊中，黑客將Windows 系統(tǒng)或 QQ、360 等常用應(yīng)用程序軟件的可信 DLL 文件替換為同名的惡意 DLL 文件，以繞過(guò)系統(tǒng)安全軟件的主動(dòng)防御機(jī)制，實(shí)現(xiàn)應(yīng)用層面的白加黑攻擊。目前，動(dòng)態(tài)鏈接庫(kù)劫持攻擊技術(shù)已被黑客組織廣泛用于權(quán)限維持和安全軟件免殺，成為最為隱蔽和效果最好的惡意載荷之一。

2.2.3　多片段程序編碼混淆檢測(cè)逃避技術(shù)

當(dāng)前，由于企業(yè)和個(gè)人郵箱安全機(jī)制的不斷優(yōu)化，安全廠商研發(fā)的各類郵件附件安全檢測(cè)產(chǎn)品的逐步普及，使得黑客為逃避此類產(chǎn)品的檢測(cè)開始針對(duì)性地研發(fā)各類新型隱匿逃避技術(shù)，出現(xiàn)了一種通過(guò)摩斯電碼、美國(guó)信息交換標(biāo)準(zhǔn)代碼（American Standard Code for Information Interchange，ASCII）等多種編碼進(jìn)行程序分段混淆加密的免殺逃避技術(shù)。其技術(shù)過(guò)程如下：

（1）惡意程序分段混淆。采用“分段 + 編碼 + 混淆”的技術(shù)思路。首先，將設(shè)計(jì)好的惡意程序或腳本依據(jù)不同階段、不同功能拆分成多個(gè)代碼片段，每個(gè)片段本身看上去沒(méi)有任何惡意功能或行為。其次，利用摩斯電碼、ASCII、Escape、Unicode、Base64 等多種編碼方式對(duì)每個(gè)片段進(jìn)行單獨(dú)編碼和加密。

（2）多種編碼組合逃避檢測(cè)。針對(duì)每個(gè)程序片段或惡意鏈接的編碼方式并非單一不變的，可能使用 2 ～ 3 種編碼的組合，并周期性、隨機(jī)性地變更編碼類型，這使得普通的安全監(jiān)測(cè)軟件無(wú)法提取其規(guī)則，難以有效防范。此外，針對(duì)網(wǎng)絡(luò)釣魚工具、虛假鏈接等較為敏感的代碼片段，利用多重鏈接機(jī)制（如 JavaScript 腳本）等進(jìn)行替換，再將該腳本托管在第三方網(wǎng)站中，以提升隱蔽性。

（3）組合片段實(shí)現(xiàn)惡意功能。每個(gè)編碼后的代碼或鏈接本身不具備任何惡意功能，但當(dāng)這些代碼片段解碼、解密、重新組合后，便逐步顯現(xiàn)出某種特定惡意用途。

使用多片段程序混淆技術(shù)實(shí)施釣魚攻擊的技術(shù)分解案例如圖 9 所示。

圖 9　多片段程序編碼混淆技術(shù)

攻擊者向目標(biāo)發(fā)送一份攜帶超文本標(biāo)記語(yǔ) 言（Hyper Text Markup Language，HTML） 代碼 文 件 的 釣 魚 郵 件， 該 HTML 代 碼 被 拆 解 為多 個(gè) 帶 有 JavaScript 代 碼 的 片 段， 片 段 1 包 含攻擊目標(biāo)的基本信息，片段 2 為一個(gè)編碼后的JavaScript 腳本，運(yùn)行后將加載模糊背景文檔，片段 3 為另一個(gè)編碼后的腳本，加載后執(zhí)行跳轉(zhuǎn)仿冒網(wǎng)頁(yè)、誘導(dǎo)用戶輸入密碼等不同功能。系列步驟完成后顯示出該 HTML 附件文檔的真實(shí)惡意用途。

3 防范對(duì)策建議

釣魚郵件攻擊技術(shù)雖然在持續(xù)更新，但應(yīng)認(rèn)識(shí)到其本質(zhì)都是通過(guò)社會(huì)工程學(xué)手法，利用人們的好奇心、獵奇心以達(dá)到欺騙目的，因此應(yīng)該以預(yù)防為基礎(chǔ)，配合反釣魚郵件工具，輔以安全監(jiān)測(cè)產(chǎn)品開展防范保護(hù)。

3.1　強(qiáng)化釣魚攻擊防范意識(shí)

無(wú) 論 釣 魚 郵 件 技 術(shù) 有 多 高 超， 隱 蔽 性 有多強(qiáng)，只要用戶不打開、不點(diǎn)擊，攻擊者就無(wú)法達(dá)到攻擊目的，因此強(qiáng)化安全防范意識(shí)是防范釣魚郵件攻擊的首要環(huán)節(jié)和重中之重。企業(yè)應(yīng)落實(shí)好網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護(hù)主體責(zé)任，定期對(duì)員工開展安全培訓(xùn)，宣傳釣魚郵件防范內(nèi)容，提高企業(yè)和員工整體安全防護(hù)意識(shí)，降低遭受大規(guī)模釣魚郵件攻擊的風(fēng)險(xiǎn)。加強(qiáng)數(shù)據(jù)安全保護(hù)，妥善管理保存在個(gè)人郵箱內(nèi)的數(shù)據(jù)，及時(shí)隔離存儲(chǔ)重要文件、刪除失效文件。保管好郵箱登錄憑證，不在任何互聯(lián)網(wǎng)網(wǎng)站上隨意輸入賬戶密碼，不輕易發(fā)布任何敏感信息。如遭遇釣魚攻擊，用戶應(yīng)第一時(shí)間隔離斷網(wǎng)，并將相關(guān)情況匯總上報(bào)給企業(yè)管理者或相關(guān)安全部門，盡可能降低影響，減少次生危害。

3.2　加強(qiáng)釣魚郵件內(nèi)容甄別

針對(duì)郵件內(nèi)容，應(yīng)學(xué)習(xí)借鑒“零信任”思想，對(duì)每一封收到的郵件仔細(xì)檢查，識(shí)別檢查發(fā)件人身份信息、郵件內(nèi)容、附件等，確認(rèn)發(fā)件人名稱、郵箱等是否存在仿冒痕跡，如用“r+n”的字母組合代替“m”以欺騙用戶等。注意檢查郵件標(biāo)題和正文的用詞用語(yǔ)，對(duì)“務(wù)必盡快回復(fù)”“通知”“日程”等字眼以及附帶鏈接需格外保持警惕并反復(fù)確認(rèn)后再進(jìn)行后續(xù)操作。尤其是針對(duì)生成式 AI 制作釣魚郵件方式，應(yīng)格外提高警惕，利用線下確認(rèn)和電話查證方式，反復(fù)核對(duì)、確認(rèn)無(wú)風(fēng)險(xiǎn)后再對(duì)郵件進(jìn)行查看、點(diǎn)擊、下載及其他操作。此外，應(yīng)謹(jǐn)慎查看郵件附件的名稱、格式、類型等信息，確認(rèn)其是否存在篡改后綴、攜帶木馬等隱患。

3.3　安裝附件安全檢測(cè)工具

針對(duì)郵件附件，應(yīng)視情安裝使用國(guó)內(nèi)安全廠商研發(fā)的主流威脅檢測(cè)工具和殺毒軟件。目前，Chrome、火狐等主流瀏覽器均帶有反釣魚工具欄，能夠?qū)Σ簧鞔蜷_釣魚鏈接的行為進(jìn)行隔離阻斷，還能夠自動(dòng)檢測(cè)下載的附件是否具有木馬風(fēng)險(xiǎn)等。此外，國(guó)內(nèi)多家安全廠商的反釣魚郵件工具能夠基于威脅情報(bào)庫(kù)、惡意鏈接檢測(cè)、云沙箱技術(shù)、行為分析模型等手段對(duì)郵件附件進(jìn)行病毒掃描和惡意判定等，具備及時(shí)發(fā)現(xiàn)、警告、清除帶毒附件惡意程序的能力，能夠有效幫助用戶防范釣魚郵件攻擊，強(qiáng)化郵箱安全防御屏障。

4 結(jié)　語(yǔ)

本文立足于釣魚郵件攻擊防護(hù)，介紹釣魚郵件攻擊的基礎(chǔ)概念、攻擊類型、社會(huì)工程學(xué)手法，分析我國(guó)內(nèi)遭受釣魚攻擊現(xiàn)狀、特點(diǎn)和面臨的威脅。結(jié)合實(shí)例，深入剖析不同釣魚郵件攻擊的技術(shù)類型、原理和革新，詳細(xì)介紹生成式 AI、多片段程序編碼混淆檢測(cè)逃避技術(shù)、附件惡意載荷技術(shù)等新興釣魚攻擊方式，從強(qiáng)化安全意識(shí)、釣魚郵件內(nèi)容甄別、惡意附件檢測(cè)等方面提出針對(duì)性的防范措施。

引用格式：陳遠(yuǎn)志 , 陳飛躍 , 郎君 . 釣魚郵件攻擊態(tài)勢(shì)和技術(shù)發(fā)展 [J]. 信息安全與通信保密 ,2023(10):50-59.
作者簡(jiǎn)介 >>>
陳遠(yuǎn)志，男，碩士，研究實(shí)習(xí)員，主要研究方向?yàn)檐浖こ獭⒕W(wǎng)絡(luò)安全；
陳飛躍，男，碩士，中級(jí)職稱，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)安全；
郎　君，男，碩士，中級(jí)職稱，主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)安全。
選自《信息安全與通信保密》2023年第10期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來(lái)自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。

相關(guān)閱讀：

2024年您需要了解19個(gè)最新網(wǎng)絡(luò)釣魚統(tǒng)計(jì)數(shù)據(jù)

郵件服務(wù)器證書和郵件安全證書